Federando com o Microsoft Azure Active Directory

Resumo: A página Federação da Console do Oracle Cloud Infrastructure exibe um link para o documento dos metadados de federação do Oracle Cloud Infrastructure. Antes de configurar o aplicativo no Azure AD, você precisa fazer download do documento.

1. Vá para a página Federação: Abra o menu de navegação e selecione Identidade & Segurança. Em Identidade, selecione Federação.

2. Na página Federação, selecione Fazer Download deste documento.

   

   Depois que você selecionar o link, o documento metadata.xml será aberto na janela de seu browser. Use o comando Salvar página como do browser para salvar o documento xml localmente onde você poderá acessá-lo posteriormente.

1. No portal do Azure, no painel de navegação esquerdo, selecione Azure Active Directory.

2. No painel do Azure Active Directory, selecione Aplicativos empresariais. Uma amostra dos aplicativos em seu tenant do Azure AD é exibida.

3. Na parte superior do painel Todos os aplicativos, selecione Novo aplicativo.
4. Na região Adicionar da galeria, digite Oracle Cloud Infrastructure Console na caixa de pesquisa.

5. Selecione o aplicativo do Oracle Cloud Infrastructure Console nos resultados.

6. No formulário específico do aplicativo, você pode editar informações sobre o aplicativo. Por exemplo, você pode editar o nome do aplicativo.

7. Quando terminar de editar as propriedades, selecione Criar.

   A página de conceitos básicos é exibida com as opções de configuração do aplicativo para sua organização.

1. Na seção Gerenciar, selecione Sign-on único.

   

2. Selecione SAML para configurar o sign-on único. A página Configurar Sign-On Único com SAML é exibida.

3. Na parte superior da página, selecione Fazer upload de arquivos de metadados.

   

4. Localize o arquivo (metadata.xml) de metadados da federação que você baixou do Oracle Cloud Infrastructure na Etapa 1 e faça upload dele aqui. Depois de fazer upload do arquivo, estes campos Configuração Básica do SAML são preenchidos automaticamente:

   • Identificador (ID da Entidade)
   • URL de Resposta (URL do Serviço do Consumidor de Asserção)

5. Na seção Configuração Básica do SAML, selecione Editar. No painel Configuração Básica do SAML, informe o seguinte campo obrigatório:

   • URL de Sign-on: Informe o URL no seguinte formato:

     https://cloud.oracle.com

     

6. Selecione Salvar.

O modelo de aplicativo empresarial do Oracle Cloud Infrastructure Console é pré-implantado com os atributos necessários, portanto, não é necessário adicionar nenhum. No entanto, você precisa fazer as seguintes personalizações:

1. Na seção Atributos e Reivindicações do Usuário, selecione Editar no canto superior direito. O painel Gerenciar reivindicação é exibido.

2. Ao lado do campo Valor do identificador de nome, selecione Editar.

   • Em Reivindicação Obrigatória, selecione Identificador de Usuário Exclusivo (ID do Nome).
   • Selecione Endereço de email e altere-o para Persistente.
   • Para Origem, selecione Atributo.

   • Para Atributo de origem, selecione user.userprincipalname.

     

   • Selecione Salvar.

3. Selecione Adicionar uma reivindicação de grupo.

4. No painel Reivindicações de Grupos, configure o seguinte:

   • Selecione Grupos de segurança.
   • Atributo de origem: Selecione ID do Grupo.
   • Em Opções Avançadas, selecione Personalizar o nome da reivindicação de grupo.

   • No campo Nome, informe: groupName.

     Certifique-se de informar groupName com a ortografia e o uso de maiúsculas/minúsculas exatamente como fornecido.

   • No campo Namespace, informe: https://auth.oraclecloud.com/saml/claims

     
   • Selecione Salvar.

1. Na seção Certificado de Assinatura SAML, selecione o link de download ao lado do XML de Metadados da Federal.

2. Faça download deste documento e anote o local onde ele será salvo. Você fará upload deste documento para a Console na próxima etapa.

Para permitir que os usuários do Azure AD acessem o Oracle Cloud Infrastructure, você precisa designar os grupos de usuários apropriados ao seu novo aplicativo empresarial.

1. No painel de navegação esquerdo, em Gerenciar, selecione Usuários e Grupos.
2. Selecione Adicionar na parte superior da lista Usuários e Grupos para abrir o painel Adicionar Atribuição.

3. Selecione o seletor Usuários e grupos.

4. Informe o nome do grupo que você deseja designar ao aplicativo na caixa Pesquisar por nome ou endereço de e-mail.

5. Posicione o cursor sobre o grupo na lista de resultados para exibir uma seleção. Marque a seleção para adicionar o grupo à lista Selecionados.

6. Quando terminar de selecionar grupos, selecione Selecionar para adicioná-los à lista de usuários e grupos a serem designados ao aplicativo.

7. Selecione Designar para designar o aplicativo aos grupos selecionados.

Resumo: Adicione o provedor de identidades à sua tenancy. Você pode configurar os mapeamentos do grupo ao mesmo tempo ou configurá-los posteriormente.

1. Vá para a Console e acesse com o nome de usuário e a senha do seu Oracle Cloud Infrastructure.
2. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Federação.
3. Selecione Adicionar provedor de identidades.

4. Informe o seguinte:

   1. Nome para Exibição: Um nome exclusivo para esta confiança federada. Este é o nome que usuários federados veem ao escolher qual provedor de identidades usar ao acessar a Console. O nome deve ser exclusivo em todos os provedores de identidade que você adicionar à tenancy. Não é possível alterar essa opção posteriormente.
   2. Descrição: Uma descrição amigável.
   3. Tipo: Selecione provedor de identidades compatível com SAML 2.0.
   4. XML: Faça upload do arquivo FederationMetadata.xml submetido a download do Azure AD.
   5. Selecione Mostrar Opções Avançadas.

   6. Criptografar Asserção: Ao marcar a caixa de seleção, o serviço IAM pode esperar a criptografia do IdP. Não marque essa caixa de seleção, a menos que você tenha ativado criptografia de asserção no Azure AD.

      Para ativar a criptografia de asserção para esta aplicação de sign-on único no Azure AD, configure o Certificado de Assinatura SAML no Azure AD para assinar a resposta e a asserção de SAML. Para obter mais informações, consulte a documentação do Azure AD.

   7. Forçar Autenticação: Selecionado por default. Quando esta opção é selecionada, os usuários precisam fornecer suas credenciais para o IdP (reautenticar), mesmo quando já estão conectados a outra sessão.
   8. Referências da Classe de Contexto de autenticação: Este campo é obrigatório para clientes do Government Cloud. Quando um ou mais valores são especificados, o Oracle Cloud Infrastructure (a parte confiável), espera que o provedor de identidades use um dos mecanismos especificados de autenticação ao autenticar o usuário. A resposta SAML retornada do IdP deve conter uma instrução de autenticação com essa referência de classe de contexto de autenticação. Se o contexto da autenticação da resposta SAML não corresponder ao especificado aqui, o serviço de auth do Oracle Cloud Infrastructure rejeitará a resposta SAML com um 400. Várias referências comuns de classe de contexto de autenticação são listadas no menu. Para usar uma classe de contexto específico, selecione Personalizado e informe manualmente a referência de classe.
   9. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.

5. Selecione Continuar.

   Nota
   
   

   Se você não quiser configurar os mapeamentos do grupo agora, basta selecionar Criar e voltar para adicionar os mapeamentos mais tarde.

Resumo: Configure os mapeamentos entre grupos do Azure AD e grupos do IAM no Oracle Cloud Infrastructure. Um grupo específico do Azure AD pode ser mapeado para zero, um ou vários grupos do IAM e vice-versa. No entanto, cada mapeamento individual está entre apenas um único grupo de Azure AD e um único grupo de IAM. As alterações em mapeamentos de grupo têm efeito normalmente em segundos na sua região local, mas podem levar vários minutos para serem propagadas em todas as regiões. Observe que os grupos do Azure AD que você escolher para mapear também devem ser designados ao aplicativo empresarial no Azure AD. Consulte a Etapa 6: Atribua grupos de usuários ao aplicativo.

Antes de começar: Abra a página de grupos do Azure AD. No Painel do Azure, em Gerenciar, selecione Grupos. Na lista de grupos, selecione o grupo que você deseja mapear para um grupo Oracle Cloud Infrastructure. Na página de detalhes do grupo, selecione o ícone Copiar ao lado do ID do Objeto do grupo.

Para criar um mapeamento de grupo:

1. Para Grupo de Provedores da Identidade, informe (ou cole) o ID do Objeto do grupo do Azure AD. Você deve informar o ID do Objeto de forma precisa, inclusive com o uso correto de maiúsculas e minúsculas. Um ID de Objeto de exemplo é semelhante a: aa0e7d64-5b2c-623g-at32-65058526179c

   

2. Escolha o grupo do IAM ao qual você deseja mapear este grupo a partir da lista no Grupo OCI.

3. Repita as etapas anteriores para cada mapeamento que deseja criar e, em seguida, selecione Criar.

O provedor de identidades agora é adicionado à sua tenancy e aparece na lista na página Federação. Selecione o provedor de identidades para exibir seus detalhes e os mapeamentos de grupo que você acabou de configurar.

O sistema Oracle atribui ao provedor de identidades e a cada mapeamento de grupo um ID exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte Identificadores de Recursos.

No futuro, vá para a página Federação se quiser editar os mapeamentos do grupo ou excluir o provedor de identidades da sua tenancy.

Se você ainda não tiver configurado, configure as políticas do IAM para controlar o acesso dos usuários federados aos recursos do Oracle Cloud Infrastructure da sua organização. Para obter mais informações, consulte Conceitos Básicos de Políticas e Políticas Comuns.

Os usuários federados precisam do URL da Console do Oracle Cloud Infrastructure (por exemplo, Console) e do nome do seu tenant, Será solicitado que eles forneçam o nome do tenant quando acessarem a Console.