Federando com o Microsoft Azure Active Directory

Resumo: A página Oracle Cloud Infrastructure Console Federation exibe um link para o documento de metadados da federação do Oracle Cloud Infrastructure. Antes de configurar o aplicativo no Azure AD, você precisa fazer download do documento.

1. Vá para a página Federação: Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Federação.

2. Na página Federação, clique em Fazer download deste documento.

   

   Depois que você clicar no link, o documento metadata.xml será aberto na janela do browser. Use o comando Salvar página como do browser para salvar o documento xml localmente onde você poderá acessá-lo posteriormente.

1. No portal do Azure, no painel de navegação esquerdo, selecione Azure Active Directory.

2. No painel do Azure Active Directory, selecione Aplicativos empresariais. Uma amostra dos aplicativos em seu tenant do Azure AD é exibida.

3. Na parte superior do painel Todos os aplicativos, clique em Novo aplicativo.
4. Na região Adicionar da galeria, digite Oracle Cloud Infrastructure Console na caixa de pesquisa.

5. Selecione o aplicativo Oracle Cloud Infrastructure Console nos resultados.

6. No formulário específico do aplicativo, você pode editar informações sobre o aplicativo. Por exemplo, você pode editar o nome do aplicativo.

7. Quando terminar de editar as propriedades, selecione Criar.

   A página de conceitos básicos é exibida com as opções de configuração do aplicativo para sua organização.

1. Na seção Gerenciar, selecione Sign-on único.

   

2. Selecione SAML para configurar o sign-on único. A página Configurar Sign-On Único com SAML é exibida.

3. Na parte superior da página, clique em Fazer upload do arquivo de metadados.

   

4. Localize o arquivo de metadados da federação (metadata.xml) que você baixou do Oracle Cloud Infrastructure na Etapa 1 e faça upload dele aqui. Depois de fazer upload do arquivo, esses campos de Configuração Básica do SAML são preenchidos automaticamente:

   • Identificador (ID da Entidade)
   • URL de Resposta (URL do Serviço do Consumidor de Asserção)

5. Na seção Configuração Básica do SAML, clique em Editar. No painel Configuração Básica do SAML, informe o seguinte campo obrigatório:

   • URL de Sign-on: Informe o URL no seguinte formato:

     https://cloud.oracle.com

     

6. Clique em Salvar.

O modelo de aplicativo empresarial da Console do Oracle Cloud Infrastructure é implantado com os atributos necessários, portanto, você não precisa adicionar qualquer um. No entanto, você precisa fazer as seguintes personalizações:

1. Na seção Atributos e Reivindicações do Usuário, clique em Editar no canto superior direito. O painel Gerenciar reivindicação é exibido.

2. Ao lado do campo Valor do identificador de nome, clique em Editar.

   • Em Reivindicação obrigatória, selecione Identificador de Usuário Exclusivo (ID do Nome).
   • Selecione Endereço de e-mail e altere-o para Persistente.
   • Para Origem, selecione Atributo.

   • Para Atributo de origem, selecione user.userprincipalname.

     

   • Clique em Salvar.

3. Clique em Adicionar uma reivindicação de grupo.

4. No painel Reivindicações de Grupo, configure o seguinte:

   • Selecione Grupos de segurança.
   • Atributo de origem: Selecione ID do Grupo.
   • Em Opções Avançadas, selecione Personalizar o nome da reivindicação de grupo.

   • No campo Nome, informe: groupName.

     Certifique-se de informar groupName com a ortografia e o uso de maiúsculas/minúsculas exatamente como fornecido.

   • No campo Namespace, digite: https://auth.oraclecloud.com/saml/claims

     
   • Clique em Salvar.

1. Na seção Certificado de Assinatura SAML, clique no link de download ao lado de XML de Metadados da Federação.

2. Faça download deste documento e anote o local onde ele será salvo. Você fará upload deste documento para a Console na próxima etapa.

Para permitir que os usuários do AD acessem o Oracle Cloud Infrastructure, você precisa designar os grupos de usuários apropriados ao novo aplicativo empresarial.

1. No painel de navegação esquerdo, em Gerenciar, selecione Usuários e Grupos.
2. Clique em Adicionar na parte superior da lista Usuários e Grupos para abrir o painel Adicionar Designação.

3. Clique no seletor de Usuários e grupos.

4. Informe o nome do grupo que você deseja designar ao aplicativo na caixa Pesquisar por nome ou endereço de e-mail.

5. Passe o mouse sobre o grupo na lista de resultados para exibir uma caixa de seleção. Marque a caixa de seleção para adicionar o grupo à lista Selecionados.

6. Quando terminar de selecionar os grupos, clique em Selecionar para adicioná-los à lista de usuários e grupos a serem designados ao aplicativo.

7. Clique em Atribuir para atribuir o aplicativo aos grupos selecionados.

Resumo: Adicione o provedor de identidades à sua tenancy. Você pode configurar os mapeamentos do grupo ao mesmo tempo ou configurá-los posteriormente.

1. Vá para a Console e faça o acesso com seu nome de usuário e senha do Oracle Cloud Infrastructure.
2. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Federação.
3. Clique em Adicionar provedor de identidades.

4. Informe o seguinte:

   1. Nome para Exibição: Um nome exclusivo para esta confiança federada. Este é o nome que os usuários federados veem ao escolher qual provedor de identidades será usado ao acessar a Console. O nome deve ser exclusivo em todos os provedores de identidade que você adicionar à tenancy. Não é possível alterar essa opção posteriormente.
   2. Descrição: Uma descrição amigável.
   3. Tipo: Selecione Provedor de identidades compatível com SAML 2.0.
   4. XML: Faça upload do arquivo FederationMetadata.xml submetido a download do Azure AD.
   5. Clique em Mostrar Opções Avançadas.

   6. criptografar Asserção: A seleção da caixa de seleção permite que o serviço IAM saiba esperar a criptografia de IdP. Não marque esta caixa de seleção a menos que você tenha ativado a criptografia de asserção no Azure AD.

      Para ativar a criptografia de asserção para esta aplicação de sign-on único no Azure AD, configure o Certificado de Assinatura SAML no Azure AD para assinar a resposta e a asserção de SAML. Para obter mais informações, consulte a documentação do Azure AD.

   7. Forçar Autenticação: Selecionado por default. Quando esta opção é selecionada, os usuários precisam fornecer suas credenciais para o IdP (reautenticar), mesmo quando já estão conectados a outra sessão.
   8. Referências da Classe de Contexto de Autenticação: este campo é obrigatório para clientes do Government Cloud. Quando um ou mais valores são especificados, o Oracle Cloud Infrastructure (a parte confiável) espera que o provedor de identidades use um dos mecanismos de autenticação especificados ao autenticar o usuário. A resposta SAML retornada do IdP deve conter uma instrução de autenticação com essa referência de classe de contexto de autenticação. Se o contexto de autenticação de resposta SAML não corresponder ao que foi especificado aqui, o serviço de autenticação do Oracle Cloud Infrastructure rejeitará a resposta SAML com um 400. Várias referências comuns de classe de contexto de autenticação são listadas no menu. Para usar uma classe de contexto específico, selecione Personalizado e informe manualmente a referência de classe.
   9. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.

5. Clique em Continuar.

   Nota
   
   

   Se não quiser configurar os mapeamentos de grupo agora, você pode simplesmente clicar em Criar e voltar para adicionar os mapeamentos posteriormente.

Resumo: Configure os mapeamentos entre os grupos do Azure AD e os grupos do serviço IAM no Oracle Cloud Infrastructure. Um determinado grupo do Azure AD pode ser mapeado para zero, um ou vários grupos do serviço IAM e vice-versa. No entanto, cada mapeamento individual está entre apenas um único grupo do Azure AD e um único grupo do serviço IAM. As alterações em mapeamentos de grupo têm efeito normalmente em segundos na sua região local, mas podem levar vários minutos para serem propagadas em todas as regiões. Observe que os grupos do Azure AD que você escolher para mapear também devem ser designados ao aplicativo empresarial no Azure AD. Consulte a Etapa 6: Atribua grupos de usuários ao aplicativo.

Antes de começar: Abra a página de grupos do Azure AD. No Painel do Azure, em Gerenciar, selecione Grupos. Na lista de grupos, selecione o grupo que você deseja mapear para um grupo do Oracle Cloud Infrastructure. Na página de detalhes do grupo, clique no ícone Copiar ao lado do ID do Objeto do grupo.

Para criar um mapeamento de grupo:

1. Para Grupo de Provedores de Identidades, informe (ou cole) o ID do Objeto do grupo Azure AD. Você deve informar o ID do Objeto de forma precisa, inclusive com o uso correto de maiúsculas e minúsculas. Um ID de Objeto de exemplo é semelhante a: aa0e7d64-5b2c-623g-at32-65058526179c

   

2. Escolha o grupo do serviço IAM para o qual você deseja mapear esse grupo na lista em Grupo OCI.

3. Repita as etapas anteriores para cada mapeamento que deseja criar e clique em Criar.

O provedor de identidades agora é adicionado à sua tenancy e aparece na lista na página Federação. Clique no provedor de identidades para exibir seus detalhes e os mapeamentos de grupo que você acabou de configurar.

O sistema Oracle atribui ao provedor de identidades e a cada mapeamento de grupo um ID exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte Identificadores de Recursos.

No futuro, vá para a página Federação se quiser editar os mapeamentos do grupo ou excluir o provedor de identidades da sua tenancy.

Caso ainda não tenha configurado, configure as políticas do serviço IAM para controlar o acesso que os usuários federados terão aos recursos do Oracle Cloud Infrastructure da sua organização. Para obter mais informações, consulte Conceitos Básicos de Políticas e Políticas Comuns.

Os usuários federados precisam do URL da Console do Oracle Cloud Infrastructure (por exemplo, Console) e do nome do tenant. Será solicitado que eles forneçam o nome do tenant quando acessarem a Console.