Documentação do Oracle Cloud Infrastructure

Federando com Provedores de Identidade SAML 2.0

Este tópico descreve as etapas gerais para federar o Oracle Cloud Infrastructure com qualquer provedor de identidade que suporte o protocolo SAML (Security Assertion Markup Language) 2.0. Se você quiser instruções específicas para o Oracle Identity Cloud Service ou o Microsoft Active Directory, consulte Federando com o Oracle Identity Cloud Service ou Federando com o Microsoft Active Directory.

Dica

Encontre etapas de configuração detalhadas para mais IdPs nos seguintes white papers:

Instruções para Federação

Veja a seguir o processo geral que um administrador passa para configurar o provedor de identidades, e a seguir estão instruções para cada etapa. Pressupõe-se que o administrador seja um usuário da Oracle Cloud Infrastructure com as credenciais e o acesso necessários.

Nota

Antes de seguir as etapas deste tópico, consulte Federando com Provedores de Identidades para entender os conceitos gerais da federação.

  1. Na Console do Oracle Cloud Infrastructure, obtenha os metadados da federação necessários para estabelecer um relacionamento de confiança com o Provedor de Identidades (IdP).
  2. No IdP, configure o Oracle Cloud Infrastructure como um aplicativo (às vezes chamado de parte confiável).
  3. No IdP, designe usuários e grupos ao seu novo aplicativo Oracle Cloud Infrastructure.
  4. No IdP, obtenha as informações necessárias do Oracle Cloud Infrastructure.

  5. No Oracle Cloud Infrastructure:

    1. Adicione o provedor de identidades à sua tenancy e forneça informações obtidas no IdP.
    2. Mapeie os Grupos do IdP para os Grupos do IAM.
  6. No Oracle Cloud Infrastructure, certifique-se de ter políticas do IAM configuradas para os grupos, para que você possa controlar os usuários do acesso aos recursos do Oracle Cloud Infrastructure.
  7. Informe a seus usuários o nome do tenant do seu Oracle Cloud Infrastructure e o URL da Console: https://cloud.oracle.com.

Etapa 1: Obtenha informações do Oracle Cloud Infrastructure

Resumo: Faça download do documento de metadados da federação.

O documento dos metadados da federação é um documento SAML 2.0 padrão, que fornece informações sobre a Oracle Cloud Infrastructure que você precisará fornecer para sua IdP. Dependendo dos requisitos de configuração do provedor, talvez você precise fazer upload de todo o documento, ou talvez seja solicitado que você forneça somente valores de metadados específicos do documento.

  1. Acesse a Console do Oracle Cloud Infrastructure como administrador.
  2. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Federação.
  3. Clique com o botão direito do mouse no link Fazer download deste documento e salve o documento.

Etapa 2: Configure o Oracle Cloud Infrastructure como um aplicativo confiável

Consulte a documentação do IdP para saber como configurar um aplicativo confiável. Consulte o documento de metadados baixado para ver os parâmetros necessários.

Etapa 3: Designe usuários e grupos ao novo aplicativo.

Siga os procedimentos do IdP para adicionar usuários e grupos ao aplicativo que você configurou para o Oracle Cloud Infrastructure.

Etapa 4: Faça download do documento de metadados do IdP.

O IdP deve fornecer um documento SAML 2.0 que contenha as informações necessárias para que o Oracle Cloud Infrastructure conclua a federação. Consulte a documentação do IdP para obter instruções sobre como fazer download deste documento.

Etapa 5: Federar a IdP com a Oracle Cloud Infrastructure

Resumo: Adicione o provedor de identidades à sua tenancy. Você pode configurar os mapeamentos do grupo ao mesmo tempo ou configurá-los posteriormente.

Detalhes:
  1. Vá para a Console e acesse com seu log-in e senha do Oracle Cloud Infrastructure.
  2. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Federação.
  3. Selecione Adicionar Provedor de Identidades.

  4. Informe o seguinte:

    1. Nome: Um nome exclusivo para esta confiança federada. Este é o nome que usuários federados veem ao escolher qual provedor de identidades usar ao se conectar à Console, portanto, considere torná-lo um nome amigável e intuitivo, que seus usuários entenderão. O nome deve ser exclusivo em todos os provedores de identidade que você adicionar à tenancy. Não é possível alterar essa opção posteriormente.
    2. Descrição: Uma descrição amigável.
    3. Tipo: Selecione um provedor de identidades compatível com o Microsoft Active Directory Federation Service (ADFS) ou SAML 2.0.
    4. XML: Faça upload do documento metadata.xml que você baixou do seu IdP.
    5. Criptografar Asserção: Ao marcar a caixa de seleção, o serviço IAM pode esperar a criptografia do IdP. Se você marcar esta caixa de verificação, também deverá configurar criptografia da asserção em seu IdP. Para obter mais informações, consulte Asserção de Criptografia em Conceitos Gerais. Consulte também a documentação do IdP.
    6. Forçar Autenticação: Selecionado por default. Quando esta opção é selecionada, os usuários precisam fornecer suas credenciais para o IdP (reautenticar), mesmo quando já estão conectados a outra sessão.
    7. Referências da Classe de Contexto de autenticação: Este campo é obrigatório para clientes do Government Cloud. Quando um ou mais valores são especificados, o Oracle Cloud Infrastructure (a parte confiável), espera que o provedor de identidades use um dos mecanismos especificados de autenticação ao autenticar o usuário. A resposta SAML retornada do IdP deve conter uma instrução de autenticação com essa referência de classe de contexto de autenticação. Se o contexto da autenticação da resposta SAML não corresponder ao especificado aqui, o serviço de auth do Oracle Cloud Infrastructure rejeitará a resposta SAML com um 400. Várias referências comuns de classe de contexto de autenticação são listadas no menu. Para usar uma classe de contexto específico, selecione Personalizado e informe manualmente a referência de classe.
    8. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
  5. Selecione Continuar.

  6. Configure os mapeamentos entre os Grupos IdP e o IAM no Oracle Cloud Infrastructure. Um determinado grupo IdP pode ser mapeado para zero, um ou vários grupos do IAM, e vice-versa. No entanto, cada mapeamento individual está entre apenas um único grupo IdP e um único grupo do IAM. As alterações em mapeamentos de grupo têm efeito normalmente em segundos na sua região local, mas podem levar vários minutos para serem propagadas em todas as regiões.

    Nota

    Se você não quiser configurar os mapeamentos do grupo agora, basta selecionar Criar e voltar para adicionar os mapeamentos mais tarde.

    Para criar um mapeamento de grupo:

    1. Em Grupo de Provedores de Identidade, informe o nome do grupo no IdP. Você deve informar o nome exato, incluindo as letras maiúsculas e minúsculas corretas.

      Escolha o grupo do IAM ao qual você deseja mapear este grupo a partir da lista no Grupo OCI.

      Dica

      Requisitos para nome de grupo do IAM: Nenhum espaço. Caracteres permitidos: letras, números, hifens, pontos, sublinhados e sinais de mais (+). O nome não pode ser alterado posteriormente.
    2. Repita as subetapas acima para cada mapeamento que deseja criar e, em seguida, selecione Criar.

O provedor de identidades agora é adicionado à sua tenancy e aparece na lista na página Federação. Selecione o provedor de identidades para exibir seus detalhes e os mapeamentos de grupo que você acabou de configurar.

O sistema Oracle atribui ao provedor de identidades e a cada mapeamento de grupo um ID exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte Identificadores de Recursos.

No futuro, vá para a página Federação se quiser editar ou adicionar mapeamentos de grupo ou excluir o provedor de identidades da sua tenancy.

Etapa 6: Configure políticas do IAM para os grupos

Se você ainda não tiver configurado, configure as políticas do IAM para controlar o acesso dos usuários federados aos recursos do Oracle Cloud Infrastructure da sua organização. Para obter mais informações, consulte Conceitos Básicos de Políticas e Políticas Comuns.

Etapa 7: Dê aos usuários federados o nome do tenant e o URL para o acesso

Os usuários federados precisam do URL para a Console do Oracle Cloud Infrastructure: https://cloud.oracle.com e o nome do seu tenant. Será solicitado que eles forneçam o nome do tenant quando acessarem a Console.

Gerenciando Provedores de Identidade na Console

Para excluir um provedor de identidades

Todos os mapeamentos de grupo do provedor de identidades também serão excluídos.

  1. Exclua o provedor de identidades da sua tenancy:

    1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Federação.

      Uma lista dos provedores de identidade em sua tenancy é exibida.

    2. Selecione o provedor de identidades para exibir seus detalhes.
    3. Selecione Excluir.
    4. Confirme quando solicitado.
  2. Siga a documentação do IdP para excluir o aplicativo do IdP.
Para adicionar mapeamentos de grupo de um provedor de identidades

  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Federação.

    Uma lista dos provedores de identidade em sua tenancy é exibida.

  2. Selecione o provedor de identidades para exibir seus detalhes.

  3. Selecione Adicionar Mapeamentos.

    1. Informe o nome exato do grupo do IdP na caixa de texto Grupo de Provedores de Identidades.

    2. Escolha o grupo do IAM ao qual você deseja mapear este grupo a partir da lista no Grupo OCI.

    3. Para adicionar mais mapeamentos, selecione +Another Mapeamento.
    4. Quando terminar, selecione Adicionar Mapeamentos.

Suas alterações entram em vigor normalmente em segundos na sua região local. Aguarde mais alguns minutos para que as alterações sejam propagadas em todas as regiões

Para atualizar um mapeamento de grupo

Não é possível atualizar um mapeamento de grupo, mas é possível excluir o mapeamento e adicionar um novo.

Para excluir um mapeamento de grupo

  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Federação.

    Uma lista dos provedores de identidade em sua tenancy é exibida.

  2. Selecione o provedor de identidades para exibir seus detalhes.
  3. Para o mapeamento que você deseja excluir, selecione-o e Excluir.
  4. Confirme quando solicitado.

Suas alterações entram em vigor normalmente em segundos na sua região local. Aguarde alguns minutos para que as alterações sejam propagadas para todas as regiões.

Gerenciando Provedores de Identidade na API

Para obter informações sobre o uso da API e as solicitações de assinatura, consulte Documentação da API REST e Credenciais da Segurança. Para obter informações sobre SDKs, consulte SDKs e a CLI.

Use estas operações de API:

Provedores de identidade: Mapeamentos de grupo: