Documentação do Oracle Cloud Infrastructure

Provisionamento do Usuário para Usuários Federados

Este tópico descreve como usar o SCIM para provisionar usuários federados no Oracle Cloud Infrastructure. Os usuários federados provisionados podem ter chaves de API e outras credenciais específicas do serviço.

Visão geral

O SCIM (System for Cross-domain Identity Management) é um protocolo padrão IETF que permite o provisionamento de usuários em sistemas de identidade. O Oracle Cloud Infrastructure hospeda um ponto final do SCIM para provisionar usuários federados no Oracle Cloud Infrastructure. Se o seu IdP for o Oracle Identity Cloud Service ou o Okta, você poderá configurar o provisionamento de usuário do SCIM.

Após a configuração da integração do SCIM entre o IdP e o Oracle Cloud Infrastructure, os usuários que pertencem aos grupos mapeados para os grupos do Oracle Cloud Infrastructure são automaticamente provisionados no Oracle Cloud Infrastructure. Os usuários provisionados recebem um OCID exclusivo e podem ter chaves de API e outras credenciais específicas ao serviço.

A seguinte funcionalidade é suportada para usuários provisionados e federados:

  • Os usuários provisionados recebem um OCID exclusivo
  • Os usuários provisionados podem ter chaves de API, tokens de autenticação e outras credenciais específicas do serviço
  • Você pode listar os usuários na Console
  • Os usuários provisionados podem acessar a página Definições do Usuário para ver e gerenciar essas credenciais para eles mesmos
  • Quando você adiciona ou remove usuários dos grupos mapeados do Oracle Cloud Infrastructure no seu IdP, as atualizações são automaticamente sincronizadas com o Oracle Cloud Infrastructure

Noções Básicas sobre Tipos de Usuário

A configuração do SCIM apresenta o conceito do usuário provisionado ou sincronizado. As descrições a seguir fornecem detalhes para ajudá-lo a entender os tipos de usuário que serão gerenciados.

  • Usuários federados

    Um usuário federado é criado e gerenciado em um provedor de identidades. Os usuários federados podem acessar a Console usando uma senha gerenciada no seu provedor de identidades. Os usuários federados recebem acesso ao Oracle Cloud Infrastructure com base em sua associação em grupos mapeados para grupos do Oracle Cloud Infrastructure.

  • Usuários provisionados (ou sincronizados)

    Um usuário sincronizado é provisionado sistematicamente pelo provedor de identidades no Oracle Cloud Infrastructure. Usuários sincronizados podem ter credenciais do Oracle Cloud Infrastructure, mas não senhas da Console. Ao listar usuários na Console, você pode identificar usuários sincronizados usando o filtro Tipo de Usuário.

  • Usuários locais

    Um usuário local é um usuário criado e gerenciado no serviço IAM do Oracle Cloud Infrastructure . As tenancies federadas geralmente têm poucos usuários locais, às vezes nenhum. Ao listar usuários na Console, você pode identificar usuários locais usando o filtro Tipo de Usuário.

O gráfico a seguir resume as características dos tipos de usuário:

Esta imagem resume as características dos tipos de usuário.

Quem deve configurar esta integração?

Configure essa integração se o seu IdP for o Oracle Identity Cloud Service ou o Okta e os usuários federados precisarem ter as credenciais especializadas exigidas por alguns serviços e recursos. Por exemplo, se você precisar que seus usuários federados acessem o Oracle Cloud Infrastructure por meio do SDK ou da CLI, a configuração dessa integração permitirá que esses usuários obtenham as chaves de API necessárias para este acesso.

Pré-requisito

Execute esta configuração de sincronização após ter configurado com sucesso uma federação entre o IdP e o Oracle Cloud Infrastructure. Consulte Provedores de Identidades Suportados.

Ativando o Provisionamento de Usuários

Instruções para Federações do Oracle Identity Cloud Service

Se seu provedor de identidades for o Oracle Identity Cloud Service, você precisará executar uma atualização única.

Importante

Se sua tenancy tiver sido criada a partir de 21 de dezembro de 2018, ela será automaticamente configurada para provisionar seus usuários do Oracle Identity Cloud Service no Oracle Cloud Infrastructure. Não é necessário executar as etapas neste tópico. Consulte Noções Básicas sobre Tipos de Usuário e Gerenciando Recursos do Usuário para Usuários Federados para obter informações sobre o gerenciamento dos usuários federados.
Fazendo Upgrade da Federação do Oracle Identity Cloud Service

Se sua federação com o serviço do Oracle Identity Cloud foi configurada antes de 21 de dezembro de 2018, execute essa tarefa de upgrade único.

Para fazer upgrade da federação do Oracle Identity Cloud Service:

  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Federação.

    Uma lista dos provedores de identidade em sua tenancy é exibida.

  2. Clique na federação do Identity Cloud Service para exibir seus detalhes. Se sua tenancy foi federada automaticamente, ela será listada como OracleIdentityCloudService.
  3. Clique em Editar Mapeamento.

  4. Quando solicitado, forneça o ID do cliente e o segredo do cliente para o aplicativo Oracle Identity Cloud Service e, em seguida, clique em Continuar.

    Onde encontro o ID do cliente e o segredo do cliente?

    O ID e o segredo do cliente são armazenados no Oracle Identity Cloud Service. Para obter essas informações:

      1. Acesse a console do Oracle Identity Cloud Service.
      2. Na console do Identity Cloud Service, clique em Aplicativos. A lista de aplicativos confiáveis é exibida.
      3. Clique em COMPUTEBAREMETAL.
      4. Clique em Configuração.

      5. Expanda Informações Gerais. O ID do cliente é exibido. Clique em Mostrar Segredo para exibir o segredo do cliente.

        A tela mostra a chave secreta do cliente na console do Oracle Identity Cloud Service

Aguarde alguns minutos para que as alterações tenham efeito.

Instruções para Federações do Okta

Se você não tiver uma federação existente com o Okta, siga as instruções no white paper, Configuração do Oracle Cloud Infrastructure Okta para Federação e Provisionamento. Este white paper inclui instruções para a configuração da federação e do provisionamento com o SCIM.

Se você tiver uma federação existente com o Okta com mapeamentos de grupo que deseja manter, poderá adicionar o provisionamento do SCIM da seguinte forma:

  1. No Okta, exclua o aplicativo SAML existente que você configurou originalmente para federar com o Oracle Cloud Infrastructure.

  2. Configure um novo aplicativo SAML no Okta de acordo com as instruções no white paper, Configuração do Oracle Cloud Infrastructure Okta para Federação e Provisionamento, com as seguintes exceções:

    • Ignore as etapas para Adicionar Provedor de Identidades ao Oracle Cloud Infrastructure (você já tem esse recurso no Oracle Cloud Infrastructure).
    • Em vez disso, clique em Editar Provedor de Identidades e faça upload do novo documento metadata.xml no novo aplicativo Okta que você criou.
    • Em seguida, no Oracle Cloud Infrastructure, não esqueça de Redefinir Credenciais. Adicione o novo ID do Cliente e o Segredo à página de definições de integração da API no Okta (Etapa 7 no white paper).

O que Esperar Após o Upgrade

Quando o sistema tiver tempo para sincronizar, você poderá gerenciar os recursos do usuário para usuários federados na Console. Os usuários que pertencem a um grupo mapeado para um grupo no Oracle Cloud Infrastructure são listados na página Usuários da Console. Sempre que você adicionar novos usuários aos grupos mapeados no Oracle Identity Cloud Service, eles ficarão disponíveis na Console depois que o sistema for sincronizado.

Por default, os seguintes recursos do usuário são ativados:

  • Chaves de API
  • Tokens de autenticação
  • Credenciais SMTP
  • chaves secretas do cliente

Observe que você não pode ativar uma senha local. A senha da console do Oracle Cloud Infrastructure ainda é gerenciada só no seu IdP.

Para obter mais informações sobre recursos do usuário, consulte Gerenciando Recursos do Usuário para Usuários Federados.

Redefinindo Credenciais

Use o botão Redefinir Credenciais para redefinir suas credenciais de cliente SCIM. É possível executar esta tarefa periodicamente como uma medida de segurança para rotacionar suas credenciais. Após redefinir essas credenciais, você precisará atualizar o aplicativo SAML no seu provedor de identidades com as novas credenciais.

Observação: Se o seu IdP for o Oracle Identity Cloud Service, o Oracle Cloud Infrastructure redefinirá automaticamente as credenciais com o Oracle Identity Cloud Service para você. Não é necessário redefinir manualmente a configuração.

Ações que Você Ainda Executa no Provedor de Identidades

Depois que a integração for configurada, continue executando as seguintes ações no IdP:

  • Criar usuários e designá-los aos grupos.

  • Excluir usuários.

    Os usuários que você exclui do IdP serão removidos do Oracle Cloud Infrastructure quando o próximo ciclo de sincronização for concluído.

  • Consultar associações de grupos.
  • Gerenciar senhas de acesso para usuários.