Federando com o Microsoft Active Directory

Este tópico descreve como federar com o Microsoft Active Directory usando o Microsoft Active Federation Services (AD FS).

Nota

Antes de seguir as etapas deste tópico, consulte Federando com Provedores de Identidades para entender os conceitos gerais da federação.

Sobre a Federação com o Microsoft Active Directory

Sua organização pode ter várias contas do Active Directory (por exemplo, uma para cada divisão da organização). Você pode federar várias contas Active Directory com a Oracle Cloud Infrastructure, mas cada confiança de federação que você configurar deve ser para uma única conta Active Directory.

Para federar com o Active Directory, configure uma confiança entre oActive Directory e a Oracle Cloud Infrastructure. Para configurar essa confiança, você deve realizar algumas etapas na Console do Oracle Cloud Infrastructure e algumas etapas nos Serviços de Federação do Active Directory.

Veja a seguir o processo geral que um administrador passa para configurar a federação com o Active Directory. Os detalhes de cada etapa são fornecidos nas seções a seguir.

Obter as informações necessárias do Active Directory Federation Services.
Federar o Active Directory com a Oracle Cloud Infrastructure:
1. Adicione o provedor de identidades (AD FS) à sua tenancy e forneça as informações necessárias.
2. Mapeie grupos do Active Directory para grupos do IAM.
No Active Directory Federation Services, adicione a Oracle Cloud Infrastructure como parte confiável e confiável.
Nos Serviços de Federação do Active Directory, adicione as regras de reivindicação necessárias na resposta de autenticação pelo Oracle Cloud Infrastructure.
Teste a sua configuração fazendo log-in no Oracle Cloud Infrastructure com as suas credenciais de Active Directory.

Federando com o Active Directory

Pré-requisitos

Você instalou e configurou o Microsoft Active Directory Federation Services para sua organização.

Configure grupos no Active Directory para mapear grupos ao Oracle Cloud Infrastructure.

Dica

Considere nomear grupos Active Directory que você pretende mapear para grupos Oracle Cloud Infrastructure com um prefixo comum, para facilitar a aplicação de uma regra de filtro. Por exemplo, OCI_Administrators, OCI_NetworkAdmins, OCI_InstanceLaunchers.

Etapa 1: Obter informações obrigatórias dos Serviços de Federação do Active Directory

Resumo: Obtenha o documento SAML de metadados e os nomes dos grupos Active Directory que deseja mapear para grupos Oracle Cloud Infrastructure Identity and Access Management.

Localize o documento de metadados SAML para o servidor de federação do AD FS. Por padrão, ele está neste URL:
```
https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml
```
Faça download deste documento e anote o local onde ele será salvo. Você fará upload deste documento para a Console na próxima etapa.
Observe todos os grupos Active Directory que você deseja mapear para grupos Oracle Cloud Infrastructure IAM. Você precisará informá-los na Console na próxima etapa.

Etapa 2: Adicionar o Active Directory como um provedor de identidades no Oracle Cloud Infrastructure

Resumo: Adicione o provedor de identidades à sua tenancy. Você pode configurar os mapeamentos do grupo ao mesmo tempo ou configurá-los posteriormente.

Vá para a Console e acesse com seu log-in e senha no Oracle Cloud Infrastructure.
Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Federação.
Selecione Adicionar provedor de identidades.
Informe o seguinte:
1. Nome para Exibição: Um nome exclusivo para esta confiança federada. Este é o nome que usuários federados veem ao escolher qual provedor de identidades usar ao acessar a Console. O nome deve ser exclusivo em todos os provedores de identidade que você adicionar à tenancy. Não é possível alterar essa opção posteriormente.
2. Descrição: Uma descrição amigável.
3. Tipo: Selecione um provedor de identidades compatível com o Microsoft Active Directory Federation Services (ADFS) ou SAML 2.0.
4. XML: Faça upload do arquivo FederationMetadata.xml submetido a download do Azure AD.
5. Selecione Mostrar Opções Avançadas.
6. Criptografar Asserção: Ao marcar a caixa de seleção, o serviço IAM pode esperar a criptografia do IdP. Não marque essa caixa de seleção, a menos que você tenha ativado criptografia de asserção no Azure AD.
  
  Para ativar a criptografia de asserção para esta aplicação de sign-on único no Azure AD, configure o Certificado de Assinatura SAML no Azure AD para assinar a resposta e a asserção de SAML. Para obter mais informações, consulte a documentação do Azure AD.
7. Forçar Autenticação: Selecionado por default. Quando esta opção é selecionada, os usuários precisam fornecer suas credenciais para o IdP (reautenticar), mesmo quando já estão conectados a outra sessão.
8. Referências da Classe de Contexto de autenticação: Este campo é obrigatório para clientes do Government Cloud. Quando um ou mais valores são especificados, o Oracle Cloud Infrastructure (a parte confiável), espera que o provedor de identidades use um dos mecanismos especificados de autenticação ao autenticar o usuário. A resposta SAML retornada do IdP deve conter uma instrução de autenticação com essa referência de classe de contexto de autenticação. Se o contexto da autenticação da resposta SAML não corresponder ao especificado aqui, o serviço de auth do Oracle Cloud Infrastructure rejeitará a resposta SAML com um 400. Várias referências comuns de classe de contexto de autenticação são listadas no menu. Para usar uma classe de contexto específico, selecione Personalizado e informe manualmente a referência de classe.
9. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar as tags posteriormente.
Selecione Continuar.
Configure os mapeamentos entre grupos de Active Directory e grupos de IAM no Oracle Cloud Infrastructure. Um determinado grupo de Active Directory pode ser mapeado para zero, um ou vários grupos de IAM e vice-versa. No entanto, cada mapeamento individual está entre apenas um único grupo de Active Directory e um único grupo de IAM. As alterações em mapeamentos de grupo têm efeito normalmente em segundos na sua região local, mas podem levar vários minutos para serem propagadas em todas as regiões.

Nota

Se você não quiser configurar os mapeamentos do grupo agora, basta selecionar Criar e voltar para adicionar os mapeamentos mais tarde.

Para criar um mapeamento de grupo:
1. Em Grupo de Provedores de Identidade, informe o nome do grupo do Active Directory. Você deve informar o nome exato, incluindo as letras maiúsculas e minúsculas corretas.
  
  Escolha o grupo do IAM ao qual você deseja mapear este grupo a partir da lista no Grupo OCI.
  
  Dica
  
  Requisitos para nome de grupo do IAM: Nenhum espaço. Caracteres permitidos: letras, números, hifens, pontos, sublinhados e sinais de mais (+). O nome não pode ser alterado posteriormente.
2. Repita as subetapas acima para cada mapeamento que deseja criar e, em seguida, selecione Criar.

O provedor de identidades agora é adicionado à sua tenancy e aparece na lista na página Federação. Selecione o provedor de identidades para exibir seus detalhes e os mapeamentos de grupo que você acabou de configurar.

O sistema Oracle atribui ao provedor de identidades e a cada mapeamento de grupo um ID exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte Identificadores de Recursos.

No futuro, vá para a página Federação se quiser editar os mapeamentos do grupo ou excluir o provedor de identidades da sua tenancy.

Etapa 3: Copie o URL do documento de Metadados da Federação do Oracle Cloud Infrastructure

Resumo: A página Federação exibe um link para o documento de Metadados da Federação do Oracle Cloud Infrastructure. Antes de fazer a configuração dos Serviços de Federação do Active Directory, você precisa copiar o URL.

Na página Federação, selecione Fazer Download deste documento.

Copie o URL. O URL é semelhante a:

https://auth.r2.oracleiaas.com/v1/saml/ocid1.tenancy.oc1..aaaaaaaaqdt2tvdmhsa3jmvc5dzulgs3pcv6imfwfgdya4aq/metadata.xml

Etapa 4: No Active Directory Federation Services, adicione a Oracle Cloud Infrastructure como parte confiável

Vá para a Console de Gerenciamento do AD FS e acesse a conta que deseja federar.
Adicione a Oracle Cloud Infrastructure como uma parte confiável:
1. Na Console de Gerenciamento do AD FS, clique com o botão direito em AD FS e selecione Adicionar Confiança de Parte Confiável.
2. No Assistente para Adicionar Confiança de Parte Confiável, selecione Início.
3. Selecione Importar dados sobre a parte confiável publicada on-line ou em uma rede local.
  
  Cole o URL de Metadados da Federação do Oracle Cloud Infrastructure que você copiou na Etapa 3. Selecione Próximo.
  
  O AD FS estabelecerá conexão com o URL. Se você receber um erro durante a tentativa de ler os metadados da federação, poderá também fazer upload do documento XML dos Metadados da Federação do Oracle Cloud Infrastructure.
  Para fazer upload do documento de metadados da federação
  Em um web browser, cole o URL de Metadados da Federação do Oracle Cloud Infrastructure na barra de endereços.
  
  Salve o documento XML em um local acessível pela Console de Gerenciamento do AD FS.
  
  Na etapa Selecionar Origem de Dados do Assistente de Adição de Confiança de Parte Confiável, selecione Importar dados sobre a parte confiável de um arquivo.
  
  Selecione Procurar e o arquivo metadata.xml que você salvou.
  
  Selecione Próximo.
4. Defina o nome para exibição da parte responsável (por exemplo, Oracle Cloud Infrastructure) e selecione Próximo.
5. Selecione Não quero configurar configurações de autenticação multifatorial para esta confiança da parte confiável no momento.
6. Escolha as Regras de Autorização de Emissão apropriadas para permitir ou negar o acesso de todos os usuários à parte confiável. Observe que se você escolher "Negar", deverá posteriormente adicionar as regras de autorização para permitir o acesso aos usuários apropriados.
  
  Selecione Próximo.
7. Verifique as definições e selecione Próximo.
8. Marque Abrir a caixa do diálogo Editar Regras de Reivindicação para esta confiança de parte confiável quando o assistente fechar e selecione Fechar.

Etapa 5: Adicione as regras de reivindicação para o parceiro confiável da Oracle Cloud Infrastructure

Resumo: Adicione as regras da reivindicação para que os elementos exigidos pelo Oracle Cloud Infrastructure (ID do nome e grupos) sejam adicionados à resposta da autenticação SAML.

Adicione a regra de ID de Nome:

No Assistente para Adicionar Regra de Reivindicação de Transformação, selecione Transformar uma Reivindicação de Entrada e Próximo.
Informe o seguinte:
- Nome da regra de reivindicação: Informe um nome para esta regra, por exemplo, nameid.
- Tipo de reivindicação de entrada: Selecione o nome da conta do Windows.
- Tipo de reivindicação de saída: Selecione o ID do Nome.
- Formato de ID do nome de saída: Selecione o Identificador Persistente.
- Selecione Passar por todo o valor de reivindicação.
- Selecione Finalizar.
A regra é exibida na lista de regras. Selecione Adicionar Regra.

Adicione a regra de grupos:

Importante

Nenhum usuário que esteja em mais de 100 grupos IdP pode ser autenticado para usar o Oracle Cloud InfrastructureConsole. Para ativar a autenticação, aplique um filtro à regra de grupos, conforme descrito a seguir.

Se seus usuários do Active Directory estiverem em até 100 grupos

Adicione a regra de grupos:

Em modelo de regra de Reivindicação, selecione Enviar Reivindicações Usando uma Regra Personalizada. Selecione Próximo.

No Assistente de Adição de Regra de Reivindicação de Transformação, informe o seguinte:

Nome da regra de reivindicação: Informe grupos.

Regra personalizada: Informe a seguinte regra personalizada:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

Selecione Finalizar.

Se seus usuários do Active Directory estiverem em mais de 100 grupos

Adicione a regra de grupos com um filtro:

Para limitar os grupos enviados ao Oracle Cloud Infrastructure, crie duas regras de reivindicação personalizadas. A primeira recupera todos os grupos aos quais o usuário pertence direta e indiretamente. A segunda regra se aplica a um filtro para limitar os grupos transmitidos ao provedor de serviços apenas àqueles que correspondem aos critérios do filtro.

Adicione a primeira regra:

Na caixa de diálogo Editar Regras da Reivindicação, selecione Adicionar Regra.
Em modelo de regra de Reivindicação, selecione Enviar Reivindicações Usando uma Regra Personalizada. Selecione Próximo.
No Assistente de Adição de Regra de Reivindicação de Transformação, informe o seguinte:
1. Nome da regra de reivindicação: Informe um nome, por exemplo, grupos.
2. Regra personalizada: Informe a seguinte regra personalizada:
```
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);
```
  Observe que nessa regra personalizada você usa add em vez de issue. Este comando passa os resultados da regra para a próxima regra, em vez de enviar os resultados para o provedor de serviços.
3. Selecione Encerrar.
Agora adicione a regra de filtro.
1. Na caixa de diálogo Editar Regras da Reivindicação, selecione Adicionar Regra.
2. Em modelo de regra de Reivindicação, selecione Enviar Reivindicações Usando uma Regra Personalizada. Selecione Próximo.
3. No Assistente de Adição de Regra de Reivindicação de Transformação, informe o seguinte:
  1. Nome da regra de reivindicação: Informe grupos.
  2. Regra personalizada: Informe uma regra de filtro apropriada. Por exemplo, para enviar apenas grupos que começam com a string "OCI", informe o seguinte:
```
c:[Type == "https://auth.oraclecloud.com/saml/claims/groupName", Value =~ "(?i)OCI"] => issue(claim = c);
```
    Essa regra filtra a lista da primeira regra somente para os grupos que começam com a string OCI. O comando issue envia os resultados da regra para o provedor de serviços.
    
    Você pode criar filtros com os critérios apropriados para sua organização.
    
    Para obter informações sobre a sintaxe do AD FS para regras personalizadas, consulte o documento da Microsoft: Noções Básicas sobre a Linguagem da Regra de Reivindicação no AD FS 2.0 e Superior.
  3. Selecione Finalizar.

Etapa 6: Configure políticas do IAM para os grupos

Se você ainda não tiver configurado, configure as políticas do IAM para controlar o acesso dos usuários federados aos recursos do Oracle Cloud Infrastructure da sua organização. Para obter mais informações, consulte Conceitos Básicos de Políticas e Políticas Comuns.

Etapa 7: Dê aos usuários federados o nome do tenant e o URL para o acesso

Dê aos usuários federados o URL para a Console do Oracle Cloud Infrastructure, https://cloud.oracle.com e o nome do seu tenant. Será solicitado que eles forneçam o nome do tenant quando acessarem a Console.

Gerenciando Provedores de Identidade na Console

Para adicionar um provedor de identidades

Consulte Sobre a Federação com o Microsoft Active Directory.

Para excluir um provedor de identidades

Todos os mapeamentos de grupo do provedor de identidades também serão excluídos.

Exclua o provedor de identidades da sua tenancy:
1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Federação.
  
  Uma lista dos provedores de identidade em sua tenancy é exibida.
2. Selecione o provedor de identidades para exibir seus detalhes.
3. Selecione Excluir.
4. Confirme quando solicitado.

Para adicionar mapeamentos de grupo de um provedor de identidades

Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Federação.

Uma lista dos provedores de identidade em sua tenancy é exibida.
Selecione o provedor de identidades para exibir seus detalhes.
Selecione Adicionar Mapeamentos.
1. Em Grupo de Provedores de Identidade, informe o nome do grupo do Active Directory. O nome informado aqui deve corresponder exatamente ao nome no Active Directory.
2. Escolha o grupo do IAM ao qual você deseja mapear este grupo a partir da lista no Grupo OCI.
3. Para adicionar mais mapeamentos, selecione +Another Mapeamento.
4. Quando terminar, selecione Adicionar Mapeamentos.

Suas alterações têm efeito normalmente em segundos.

Para atualizar um mapeamento de grupo

Não é possível atualizar um mapeamento de grupo, mas é possível excluir o mapeamento e adicionar um novo.

Para excluir um mapeamento de grupo

Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Federação.

Uma lista dos provedores de identidade em sua tenancy é exibida.
Selecione o provedor de identidades para exibir seus detalhes.
Para o mapeamento que você deseja excluir, selecione-o e Excluir.
Confirme quando solicitado.

Suas alterações têm efeito normalmente em segundos.

Gerenciando Provedores de Identidade na API

Para obter informações sobre o uso da API e as solicitações de assinatura, consulte Documentação da API REST e Credenciais da Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

Use estas operações de API:

Provedores de identidade:

CreateIdentityProvider
ListIdentityProviders
GetIdentityProvider
UpdateIdentityProvider
DeleteIdentityProvider: Para que você possa usar essa operação, primeiro use o DeleteIdpGroupMapping para remover todos os mapeamentos de grupo do provedor de identidades.

Mapeamentos de grupo:

CreateIdpGroupMapping: Cada mapeamento de grupo é uma entidade separada com seu próprio OCID.
ListIdpGroupMappings
GetIdpGroupMapping
UpdateIdpGroupMapping
DeleteIdpGroupMapping

Documentação do Oracle Cloud Infrastructure