Documentação do Oracle Cloud Infrastructure

Federando com Provedores de Identidade SAML 2.0

Este tópico descreve as etapas gerais para federar o Oracle Cloud Infrastructure com qualquer provedor de identidade que suporte o protocolo SAML (Security Assertion Markup Language) 2.0. Se você quiser instruções específicas para o Oracle Identity Cloud Service ou o Microsoft Active Directory, consulte Federando com o Oracle Identity Cloud Service ou Federando com o Microsoft Active Directory.

Dica

Encontre etapas de configuração detalhadas para mais IdPs nos seguintes white papers:

Instruções para Federação

Veja a seguir o processo geral que um administrador passa para configurar o provedor de identidades, e a seguir estão instruções para cada etapa. Presume-se que o administrador seja um usuário do Oracle Cloud Infrastructure com as credenciais e acesso necessários.

Nota

Antes de seguir as etapas deste tópico, consulte Federando com Provedores de Identidades para entender os conceitos gerais da federação.

  1. Na Console do Oracle Cloud Infrastructure, obtenha os metadados da federação necessários para estabelecer uma relação confiável com o Provedor de Identidades (IdP).
  2. No IdP, configure o Oracle Cloud Infrastructure como um aplicativo (às vezes chamado de parte confiável).
  3. No IdP, designe usuários e grupos ao seu novo aplicativo do Oracle Cloud Infrastructure.
  4. No IdP, obtenha as informações necessárias ao Oracle Cloud Infrastructure.

  5. No Oracle Cloud Infrastructure:

    1. Adicione o provedor de identidades à sua tenancy e forneça informações obtidas no IdP.
    2. Mapeie os grupos do IdP para grupos do serviço IAM.
  6. No Oracle Cloud Infrastructure, certifique-se de que você tenha políticas do serviço IAM configuradas para os grupos de modo que possa controlar o acesso dos usuários aos recursos do Oracle Cloud Infrastructure.
  7. Informe seus usuários sobre o nome do tenant do Oracle Cloud Infrastructure e o URL da Console, https://cloud.oracle.com.

Etapa 1: Obtenha informações do Oracle Cloud Infrastructure

Resumo: Faça download do documento de metadados da federação.

O documento de metadados da federação é um documento SAML 2.0 padrão, que fornece informações sobre o Oracle Cloud Infrastructure que você precisará fornecer ao seu IdP. Dependendo dos requisitos de configuração do provedor, talvez você precise fazer upload de todo o documento, ou talvez seja solicitado que você forneça somente valores de metadados específicos do documento.

  1. Acesse a Console do Oracle Cloud Infrastructure como administrador.
  2. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Federação.
  3. Clique com o botão direito do mouse no link Fazer download deste documento e salve o documento.

Etapa 2: Configure o Oracle Cloud Infrastructure como um aplicativo confiável

Consulte a documentação do IdP para saber como configurar um aplicativo confiável. Consulte o documento de metadados baixado para ver os parâmetros necessários.

Etapa 3: Designe usuários e grupos ao novo aplicativo.

Siga os procedimentos do IdP para adicionar usuários e grupos ao aplicativo configurado para o Oracle Cloud Infrastructure.

Etapa 4: Faça download do documento de metadados do IdP.

Seu IdP deve fornecer um documento SAML 2.0 que contém as informações de que o Oracle Cloud Infrastructure precisa para concluir a federação. Consulte a documentação do IdP para obter instruções sobre como fazer download deste documento.

Etapa 5: Federe o IdP com o Oracle Cloud Infrastructure

Resumo: Adicione o provedor de identidades à sua tenancy. Você pode configurar os mapeamentos do grupo ao mesmo tempo ou configurá-los posteriormente.

Detalhes:
  1. Vá para a Console e acesse com seu login e senha do Oracle Cloud Infrastructure.
  2. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Federação.
  3. Clique em Adicionar Provedor de Identidades.

  4. Informe o seguinte:

    1. Nome: Um nome exclusivo para esta confiança federada. Esse é o nome que os usuários federados veem ao escolher qual provedor de identidades usar ao acessar a Console, portanto, lembre-se de criar um nome simples intuitivo que seus usuários entenderão. O nome deve ser exclusivo em todos os provedores de identidade que você adicionar à tenancy. Não é possível alterar essa opção posteriormente.
    2. Descrição: Uma descrição amigável.
    3. Tipo: Selecione um provedor de identidades compatível com o Microsoft Active Directory Federation Service (ADFS) ou SAML 2.0.
    4. XML: Faça upload do documento metadata.xml que você baixou do seu IdP.
    5. criptografar Asserção: A seleção da caixa de seleção permite que o serviço IAM saiba esperar a criptografia do IdP. Se você marcar essa caixa de seleção, também deverá configurar a criptografia da asserção em seu IdP. Para obter mais informações, consulte Asserção de Criptografia em Conceitos Gerais. Consulte também a documentação do IdP.
    6. Forçar Autenticação: Selecionado por default. Quando esta opção é selecionada, os usuários precisam fornecer suas credenciais para o IdP (reautenticar), mesmo quando já estão conectados a outra sessão.
    7. Referências da Classe de Contexto de Autenticação: este campo é obrigatório para clientes do Government Cloud. Quando um ou mais valores são especificados, o Oracle Cloud Infrastructure (a parte confiável) espera que o provedor de identidades use um dos mecanismos de autenticação especificados ao autenticar o usuário. A resposta SAML retornada do IdP deve conter uma instrução de autenticação com essa referência de classe de contexto de autenticação. Se o contexto de autenticação de resposta SAML não corresponder ao que foi especificado aqui, o serviço de autenticação do Oracle Cloud Infrastructure rejeitará a resposta SAML com um 400. Várias referências comuns de classe de contexto de autenticação são listadas no menu. Para usar uma classe de contexto específico, selecione Personalizado e informe manualmente a referência de classe.
    8. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
  5. Clique em Continuar.

  6. Configure os mapeamentos entre os grupos do IdP e os grupos do serviço IAM no Oracle Cloud Infrastructure. Um determinado grupo do IdP pode ser mapeado para zero, um ou vários grupos do serviço IAM e vice-versa. Entretanto, cada mapeamento individual está entre um único grupo do IdP e um único grupo do serviço IAM. As alterações em mapeamentos de grupo têm efeito normalmente em segundos na sua região local, mas podem levar vários minutos para serem propagadas em todas as regiões.

    Nota

    Se não quiser configurar os mapeamentos de grupo agora, você pode simplesmente clicar em Criar e voltar para adicionar os mapeamentos posteriormente.

    Para criar um mapeamento de grupo:

    1. Em Grupo de Provedores de Identidade, informe o nome do grupo no IdP. Você deve informar o nome exato, incluindo as letras maiúsculas e minúsculas corretas.

      Escolha o grupo do serviço IAM para o qual você deseja mapear esse grupo na lista em Grupo OCI.

      Dica

      Requisitos para o nome do grupo do serviço IAM: sem espaços. Caracteres permitidos: letras, números, hifens, pontos, sublinhados e sinais de mais (+). O nome não pode ser alterado posteriormente.
    2. Repita as etapas acima para cada mapeamento que você deseja criar e, em seguida, clique em Criar.

O provedor de identidades agora é adicionado à sua tenancy e aparece na lista na página Federação. Clique no provedor de identidades para exibir seus detalhes e os mapeamentos de grupo que você acabou de configurar.

O sistema Oracle atribui ao provedor de identidades e a cada mapeamento de grupo um ID exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte Identificadores de Recursos.

No futuro, vá para a página Federação se quiser editar ou adicionar mapeamentos de grupo ou excluir o provedor de identidades da sua tenancy.

Etapa 6: Configure políticas do serviço IAM para os grupos

Caso ainda não tenha configurado, configure as políticas do serviço IAM para controlar o acesso que os usuários federados terão aos recursos do Oracle Cloud Infrastructure da sua organização. Para obter mais informações, consulte Conceitos Básicos de Políticas e Políticas Comuns.

Etapa 7: Dê aos usuários federados o nome do tenant e o URL para o acesso

Os usuários federados precisam do URL da Console do Oracle Cloud Infrastructure, https://cloud.oracle.com, e do nome do tenant. Eles serão solicitados a informar o nome do tenant quando acessarem a Console.

Gerenciando Provedores de Identidade na Console

Para excluir um provedor de identidades

Todos os mapeamentos de grupo do provedor de identidades também serão excluídos.

  1. Exclua o provedor de identidades da sua tenancy:

    1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Federação.

      Uma lista dos provedores de identidade em sua tenancy é exibida.

    2. Clique no provedor de identidades para exibir seus detalhes.
    3. Clique em Excluir.
    4. Confirme quando solicitado.
  2. Siga a documentação do IdP para excluir o aplicativo do IdP.
Para adicionar mapeamentos de grupo de um provedor de identidades

  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Federação.

    Uma lista dos provedores de identidade em sua tenancy é exibida.

  2. Clique no provedor de identidades para exibir seus detalhes.

  3. Clique em Adicionar Mapeamentos.

    1. Informe o nome exato do grupo do IdP na caixa de texto Grupo de Provedores de Identidades.

    2. Escolha o grupo do serviço IAM para o qual você deseja mapear esse grupo na lista em Grupo OCI.

    3. Para adicionar mais mapeamentos, clique em + Outro Mapeamento.
    4. Quando terminar, clique em Adicionar Mapeamentos.

Suas alterações entram em vigor normalmente em segundos na sua região local. Aguarde mais alguns minutos para que as alterações sejam propagadas em todas as regiões

Para atualizar um mapeamento de grupo

Não é possível atualizar um mapeamento de grupo, mas é possível excluir o mapeamento e adicionar um novo.

Para excluir um mapeamento de grupo

  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Federação.

    Uma lista dos provedores de identidade em sua tenancy é exibida.

  2. Clique no provedor de identidades para exibir seus detalhes.
  3. Para o mapeamento que você deseja excluir, selecione-o e clique em Excluir.
  4. Confirme quando solicitado.

Suas alterações entram em vigor normalmente em segundos na sua região local. Aguarde alguns minutos para que as alterações sejam propagadas para todas as regiões.

Gerenciando Provedores de Identidade na API

Para obter informações sobre como usar a API e assinar solicitações, consulte a documentação da API REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

Use estas operações de API:

Provedores de identidade: Mapeamentos de grupo: