Documentação do Oracle Cloud Infrastructure

Federando com o Oracle Identity Cloud Service

Este tópico aponta para os tópicos apropriados para federar o Oracle Cloud Infrastructure com o Oracle Identity Cloud Service, dependendo de quando você ativou sua tenancy.

Tenancies criadas a partir de 21 de dezembro de 2018

Estas tenancies são federadas automaticamente com o Oracle Identity Cloud Service e configuradas para provisionar usuários federados no Oracle Cloud Infrastructure.

Para gerenciar os usuários e grupos federados, consulte Gerenciando Usuários e Grupos do Oracle Identity Cloud Service na Console do Oracle Cloud Infrastructure.

Para obter informações sobre a federação, consulte Descubra Mais Sobre os Usuários Federados do Oracle Identity Cloud Service.

Tenancies criadas entre 18 de dezembro de 2017 e 20 de dezembro de 2018

Estas instâncias são federadas automaticamente com o Oracle Identity Cloud Service, mas não são configuradas para provisionar usuários federados no Oracle Cloud Infrastructure a fim de permitir que esses usuários tenham credenciais adicionais (chaves de API, tokens de autenticação etc.).

Para ativar esse recurso para usuários, você precisa executar um upgrade único, consulte: Provisionamento do Usuário para Usuários Federados.

Após executar este upgrade, consulte Gerenciando Usuários e Grupos do Oracle Identity Cloud Service na Console do Oracle Cloud Infrastructure para gerenciar usuários federados e grupos.

Federando Manualmente com o Oracle Identity Cloud Service

Sua organização pode ter várias contas do Oracle Identity Cloud Service (por exemplo, uma para cada divisão da organização). Você pode federar várias contas do Identity Cloud Service com o Oracle Cloud Infrastructure, mas cada confiança federada que você configurar deverá ser para uma única conta do Identity Cloud Service.

Nota

Antes de seguir as etapas deste tópico, consulte Federando com Provedores de Identidades para entender os conceitos gerais da federação.

Conceitos Básicos de Componentes da Federação Manual

Credenciais do Aplicativo Web e do Cliente

Para cada confiança, você deve configurar um aplicativo Web no Oracle Identity Cloud Service (também chamado de aplicativo confiável); as instruções estão em Instruções para Federar com o Oracle Identity Cloud Service. O aplicativo resultante tem um conjunto de credenciais do cliente (um ID e segredo do cliente). Quando você federa sua conta do Identity Cloud Service com o Oracle Cloud Infrastructure, deve fornecer essas credenciais.

Aplicativo COMPUTEBAREMETAL

Um aplicativo confiável no Oracle Identity Cloud Service que contém o conjunto de credenciais do cliente (um ID e segredo do cliente) que você precisará fornecer quando federar sua conta do Identity Cloud Service com o Oracle Cloud Infrastructure.

URLs Obrigatórios

A forma mais fácil de federar com o Oracle Identity Cloud Service é por meio da Console do Oracle Cloud Infrastructure, embora você possa fazê-lo de forma programática com a API. Se estiver usando a Console, será solicitado que você forneça um URL base em vez do URL de metadados. O URL base é a parte mais à esquerda do URL na janela do browser quando você está conectado à console do Identity Cloud Service:

  • URL Base: <Identity Cloud Service account name>.identity.oraclecloud.com

Se você estiver usando a API para federar, será necessário fornecer o URL de metadados, que é o URL base com /fed/v1/metadata anexado, assim:

  • URL de Metadados: <Identity Cloud Service account name>.identity.oraclecloud.com/fed/v1/metadata

O URL de metadados é vinculado diretamente ao XML fornecido pela IdP necessário para federar. Se você estiver usando a API, será necessário fornecer o URL de metadados e os próprios metadados ao federar. Para obter mais informações, consulte Gerenciando Provedores de Identidade na API.

Aplicativo OCI-V2-<tenancy_name>

Quando você federa manualmente uma conta do Oracle Identity Cloud Service com o Oracle Cloud Infrastructure, um novo aplicativo SAML chamado OCI-V2-<tenancy_name> é criado automaticamente nessa conta do Oracle Identity Cloud Service. Se, posteriormente, você precisar excluir o provedor de identidades do Oracle Identity Cloud Service da sua tenancy do Oracle Cloud Infrastructure, certifique-se de também excluir o OCI-V2-<tenancy_name> do Oracle Identity Cloud Service. Se não excluir e tentar mais tarde federar a mesma conta do Oracle Identity Cloud Service novamente, você receberá um erro 409 informando que já existe um aplicativo com o mesmo nome (ou seja, OCI-V2-<tenancy_name>).

Usuário Provisionado

Um usuário provisionado é provisionado pelo Oracle Identity Cloud Service no Oracle Cloud Infrastructure e sincronizado com um usuário federado gerenciado no Oracle Identity Cloud Service. O usuário provisionado pode ter as credenciais especiais do Oracle Cloud Infrastructure como chaves de API e tokens de autenticação para permitir acesso programático. Os usuários provisionados não podem ter senhas da Console.

Instruções para Federar com o Oracle Identity Cloud Service

Veja a seguir o processo geral que um administrador passa para configurar o provedor de identidades, e a seguir estão instruções para cada etapa. Presume-se que o administrador seja um usuário do Oracle Cloud Infrastructure com as credenciais e acesso necessários.

  1. Acesse o Oracle Identity Cloud Service. Execute uma das seguintes opções, conforme apropriado:

    Opção A: Obtenha as informações necessárias do aplicativo COMPUTEBAREMETAL que você precisará executar nas etapas de configuração no Oracle Cloud Infrastructure.

    Opção B: Se o Oracle Identity Cloud Service não incluir o aplicativo COMPUTEBAREMETAL, configure um aplicativo confiável.

  2. No Oracle Cloud Infrastructure, configure a federação:

    1. Configure o Oracle Identity Cloud Service como um provedor de identidades.
    2. Mapeie grupos do Oracle Identity Cloud Service para grupos do serviço IAM.
  3. No Oracle Cloud Infrastructure, configure as políticas do serviço IAM para os grupos do serviço IAM a fim de definir o acesso que você deseja que os membros dos grupos mapeados tenham.
  4. Informe seus usuários sobre o nome do tenant do Oracle Cloud Infrastructure e o URL da Console, https://cloud.oracle.com.
Etapa 1: Obtenha as informações necessárias do Oracle Identity Cloud Service
Opção A: Obter informações do aplicativo COMPUTEBAREMETAL
  1. Vá para a console do Oracle Identity Cloud Service e acesse com privilégios de administrador. Verifique se você está visualizando a Console de Administração.

  2. Na console do Identity Cloud Service, clique em Aplicativos. A lista de aplicativos confiáveis é exibida.

  3. Clique em COMPUTEBAREMETAL. Caso sua instância não inclua o aplicativo COMPUTEBAREMETAL, execute a Etapa 1 Opção B.
  4. Clique em Configuração.

  5. Expanda Informações Gerais. O ID do cliente é exibido. Clique em Mostrar Segredo para exibir o segredo do cliente.

    A tela mostra a chave secreta do cliente na console do Oracle Identity Cloud Service

  6. Registre o ID do Cliente e o Segredo do Cliente. Eles são semelhantes a:

    • ID do Cliente: de06b81cb45a45a8acdcde923402a9389d8
    • Segredo do Cliente: 8a297afd-66df-49ee-c67d-39fcdf3d1c31
Opção B: Configurar um aplicativo confiável e obter as informações necessárias do Oracle Identity Cloud Service

Execute esta etapa apenas se não conseguir concluir a Etapa 1 Opção A.

Resumo: Para o Oracle Identity Cloud Service, você precisa criar um aplicativo confidencial (também conhecido como aplicativo confiável) com propriedades específicas descritas nas instruções a seguir. Para obter a documentação geral do Oracle Identity Cloud Service, consulte Adicionar um Aplicativo Confidencial.

Instruções para o Oracle Identity Cloud Service:

  1. Vá para a console do Oracle Identity Cloud Service e acesse com privilégios para criar o aplicativo. Verifique se você está visualizando a Console de Administração.

  2. Adicione um aplicativo confidencial (ou confiável), que permita uma interação segura e programática entre o Oracle Cloud Infrastructure e o Oracle Identity Cloud Service. Especifique estes itens ao configurar o aplicativo:

    1. Na primeira página:

      1. Informe um nome para o aplicativo (por exemplo, Oracle Cloud Infrastructure Federation).
      2. Deixe outros campos vazios ou não selecionados.

    2. Na próxima página:

      1. Selecione Configurar este aplicativo como cliente agora.
      2. Para os tipos de concessão permitidos, marque a caixa de seleção para credenciais do cliente.
      3. Deixe outros campos em branco.

      4. Na parte inferior da página:

        1. Marque a caixa de seleção para Dar ao cliente acesso às APIs de Administração do Identity Cloud Service.
        2. Selecione Administrador de Domínio de Identidade na lista de atribuições.
    3. Na próxima página, deixe todos os campos vazios ou não selecionados e prossiga até clicar em Finalizar.

    4. Copie e cole as credenciais do cliente exibidas para fornecê-las posteriormente ao Oracle Cloud Infrastructure ao federar. Você pode exibir as credenciais de cliente do aplicativo a qualquer momento na console do Oracle Identity Cloud Service. Eles são semelhantes a:

      • ID do Cliente: de06b81cb45a45a8acdcde923402a9389d8
      • Segredo do Cliente: 8a297afd-66df-49ee-c67d-39fcdf3d1c31
  3. Registre o URL do Oracle Identity Cloud Service base, de que você precisará ao federar.
  4. Ative o aplicativo.
Etapa 2: Adicione o Oracle Identity Cloud Service como um provedor de identidade no Oracle Cloud Infrastructure
  1. Vá para a Console e acesse com seu login e senha do Oracle Cloud Infrastructure.
  2. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Federação.
  3. Clique em Adicionar provedor de identidades.

  4. Informe o seguinte:

    1. Nome: Um nome exclusivo para esta confiança federada. Este é o nome que os usuários federados veem ao escolher qual provedor de identidades usar ao acessar a Console (por exemplo, ABCCorp_IDCS, conforme mostrado na tela em Experiência para Usuários Federados). O nome deve ser exclusivo em todos os provedores de identidade que você adicionar à tenancy. Não é possível alterar essa opção posteriormente.
    2. Descrição: Uma descrição amigável.
    3. URL Base do IDCS: Consulte URLs Necessários.
    4. ID do Cliente: A Opção A ou Opção B da Etapa 1.
    5. Segredo do cliente: A Opção A ou Opção B da Etapa 1.
    6. criptografar Asserção: A seleção da caixa de seleção permite que o serviço IAM saiba esperar a criptografia do IdP. Se você marcar essa caixa de seleção, também deverá configurar a criptografia da asserção no IDCS. Para obter mais informações, consulte Conceitos Gerais. Para obter informações sobre a configuração desse recurso no IDCS, consulte Gerenciando Aplicativos do Oracle Identity Cloud Service.
    7. Forçar Autenticação: Selecionado por default. Quando esta opção é selecionada, os usuários precisam fornecer suas credenciais para o IdP (reautenticar), mesmo quando já estão conectados a outra sessão.
    8. Referências da Classe de Contexto de Autenticação: este campo é obrigatório para clientes do Government Cloud. Quando um ou mais valores são especificados, o Oracle Cloud Infrastructure (a parte confiável) espera que o provedor de identidades use um dos mecanismos de autenticação especificados ao autenticar o usuário. A resposta SAML retornada do IdP deve conter uma instrução de autenticação com essa referência de classe de contexto de autenticação. Se o contexto de autenticação de resposta SAML não corresponder ao que foi especificado aqui, o serviço de autenticação do Oracle Cloud Infrastructure rejeitará a resposta SAML com um 400. Várias referências comuns de classe de contexto de autenticação são listadas no menu. Para usar uma classe de contexto específico, selecione Personalizado e informe manualmente a referência de classe.
    9. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
  5. Clique em Continuar.

  6. Configure os mapeamentos entre grupos do Oracle Identity Cloud Service e grupos do serviço IAM no Oracle Cloud Infrastructure. Um determinado grupo do Oracle Identity Cloud Service pode ser mapeado para zero, um ou vários grupos do serviço IAM e vice-versa. Entretanto, cada mapeamento individual está entre um único grupo do Oracle Identity Cloud Service e um único grupo do serviço IAM. As alterações nos mapeamentos de grupo têm efeito normalmente em segundos.

    Nota

    Se não quiser configurar os mapeamentos de grupo agora, você pode simplesmente clicar em Criar e voltar para adicionar os mapeamentos posteriormente.

    Para criar um mapeamento de grupo:

    1. Selecione o grupo do Oracle Identity Cloud Service na lista em Grupo de Provedores de Identidades.

    2. Escolha o grupo do serviço IAM para o qual você deseja mapear esse grupo na lista em Grupo OCI.

      Dica

      Requisitos para o nome do grupo do serviço IAM: sem espaços. Caracteres permitidos: letras, números, hifens, pontos, sublinhados e sinais de mais (+). O nome não pode ser alterado posteriormente.
    3. Repita as etapas acima para cada mapeamento que você deseja criar e, em seguida, clique em Criar.

Depois da Configuração da Federação

O provedor de identidades agora é adicionado à sua tenancy e aparece na lista na página Federação. Clique no provedor de identidades para exibir seus detalhes e os mapeamentos de grupo que você acabou de configurar.

O sistema Oracle atribui ao provedor de identidades e a cada mapeamento de grupo um ID exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte Identificadores de Recursos.

No futuro, vá para a página Federação se quiser editar os mapeamentos do grupo ou excluir o provedor de identidades da sua tenancy.

Os usuários que são membros dos grupos do Oracle Identity Cloud Service mapeados para os grupos do Oracle Cloud Infrastructure agora são listados na Console na página Usuários. Consulte Gerenciando Recursos do Usuário para Usuários Federados para obter mais informações sobre a atribuição dessas credenciais adicionais dos usuários.

Etapa 3: Configure políticas do serviço IAM para os grupos

Caso ainda não tenha configurado, configure as políticas do serviço IAM para controlar o acesso que os usuários federados terão aos recursos do Oracle Cloud Infrastructure da sua organização. Para obter mais informações, consulte Conceitos Básicos de Políticas e Políticas Comuns.

Etapa 4: Dê aos usuários federados o nome do tenant e o URL para o acesso

Dê aos usuários federados o URL da Console do Oracle Cloud Infrastructure, https://cloud.oracle.com, e o nome do tenant. Será solicitado que eles forneçam o nome do tenant quando acessarem a Console.

Gerenciando Provedores de Identidade na Console

Para excluir o provedor de identidades

Todos os mapeamentos de grupo também serão excluídos.

  1. Exclua o provedor de identidades da sua tenancy:

    1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Federação.

      Uma lista dos provedores de identidade em sua tenancy é exibida.

    2. Clique no provedor de identidades para exibir seus detalhes.
    3. Clique em Excluir.
    4. Confirme quando solicitado.
  2. Exclua o OCI-V2-<tenancy_name> da sua conta do Oracle Identity Cloud Service:
    1. Vá para o Oracle Identity Cloud Service e acesse a conta federada.
    2. Clique em Aplicativos. A lista de aplicativos é exibida.

    3. Localize o OCI-V2-<tenancy_name> e clique em seu nome para ver sua página de detalhes.

    4. No canto superior direito da página, clique em Desativar. Confirme quando solicitado.
    5. Clique em Remover. Confirme quando solicitado.
Para adicionar mapeamentos de grupo para o Oracle Identity Cloud Service

  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Federação.

    Uma lista dos provedores de identidade em sua tenancy é exibida.

  2. Clique no nome escolhido para a federação do Oracle Identity Cloud Service para exibir seus detalhes.

  3. Clique em Adicionar Mapeamentos.

    1. Selecione o grupo do Oracle Identity Cloud Service na lista em Grupo de Provedores de Identidades.

    2. Escolha o grupo do serviço IAM para o qual você deseja mapear esse grupo na lista em Grupo OCI.

    3. Para adicionar mais mapeamentos, clique em + Outro Mapeamento.
    4. Quando terminar, clique em Adicionar Mapeamentos.

Suas alterações entram em vigor normalmente em segundos na sua região local. Aguarde alguns minutos para que as alterações sejam propagadas para todas as regiões.

Os usuários que são membros dos grupos do Oracle Identity Cloud Service mapeados para os grupos do Oracle Cloud Infrastructure agora são listados na Console na página Usuários. Consulte Gerenciando Recursos do Usuário para Usuários Federados para obter mais informações sobre a atribuição dessas credenciais adicionais dos usuários.

Para atualizar ou excluir um mapeamento de grupo

Não é possível atualizar um mapeamento de grupo, mas é possível excluir o mapeamento e adicionar um novo.

  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Federação.

    Uma lista dos provedores de identidade em sua tenancy é exibida.

  2. Clique no provedor de identidades para exibir seus detalhes.
  3. Para o mapeamento que você deseja excluir, selecione-o e clique em Excluir.
  4. Confirme quando solicitado.
  5. Adicione um novo mapeamento, se desejado.

Suas alterações entram em vigor normalmente em segundos na sua região local. Aguarde alguns minutos para que as alterações sejam propagadas para todas as regiões.

Se esta ação resultar em usuários federados não mais tendo associação em qualquer grupo mapeado para o Oracle Cloud Infrastructure, os usuários federados 'provisionados' também serão removidos do Oracle Cloud Infrastructure. Normalmente, esse processo leva vários minutos.

Gerenciando Provedores de Identidade na API

Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

Use estas operações de API:

Provedores de identidade: Mapeamentos de grupo: