Documentação do Oracle Cloud Infrastructure

Provisionamento do Usuário para Usuários Federados

Este tópico descreve como usar o SCIM para provisionar usuários federados no Oracle Cloud Infrastructure. Os usuários federados provisionados podem ter chaves de API e outras credenciais específicas do serviço.

Visão geral

O SCIM (System for Cross-domain Identity Management) é um protocolo padrão IETF que permite o provisionamento de usuários em sistemas de identidade. O Oracle Cloud Infrastructure hospeda um ponto final SCIM para aprovisionar usuários federados no Oracle Cloud Infrastructure. Se o seu IdP for o Oracle Identity Cloud Service ou o Okta, você poderá configurar o provisionamento de usuário do SCIM.

Depois de configurar a integração do SCIM entre sua IdP e a Oracle Cloud Infrastructure, os usuários que pertencem a grupos mapeados para grupos da Oracle Cloud Infrastructure são provisionados automaticamente na Oracle Cloud Infrastructure. Os usuários provisionados recebem um OCID exclusivo e podem ter chaves de API e outras credenciais específicas ao serviço.

A seguinte funcionalidade é suportada para usuários provisionados e federados:

  • Os usuários provisionados recebem um OCID exclusivo
  • Os usuários provisionados podem ter chaves de API, tokens de autenticação e outras credenciais específicas do serviço
  • Você pode listar os usuários na Console
  • Os usuários provisionados podem acessar a página Definições do Usuário para ver e gerenciar essas credenciais para eles mesmos
  • Quando você adiciona ou remove usuários para grupos mapeados pelo Oracle Cloud Infrastructure no seu IdP, as atualizações são sincronizadas automaticamente com o Oracle Cloud Infrastructure

Noções Básicas sobre Tipos de Usuário

A configuração do SCIM apresenta o conceito do usuário provisionado ou sincronizado. As descrições a seguir fornecem detalhes para ajudá-lo a entender os tipos de usuário que serão gerenciados.

  • Usuários federados

    Um usuário federado é criado e gerenciado em um provedor de identidades. Os usuários federados podem acessar a Console usando uma senha gerenciada em seu provedor de identidades. Os usuários federados recebem acesso ao Oracle Cloud Infrastructure com base na associação deles a grupos mapeados para grupos do Oracle Cloud Infrastructure.

  • Usuários provisionados (ou sincronizados)

    Um usuário sincronizado é sistematicamente provisionado pelo provedor de identidades no Oracle Cloud Infrastructure. Os usuários sincronizados podem ter credenciais da Oracle Cloud Infrastructure, mas não senhas de Console. Ao listar usuários na Console, você pode identificar usuários sincronizados usando o filtro Tipo de Usuário.

  • Usuários locais

    Usuário local é um usuário criado e gerenciado no serviço IAM do Oracle Cloud Infrastructure. As tenancies federadas geralmente têm poucos usuários locais, às vezes nenhum. Ao listar usuários na Console, você pode identificar usuários locais usando o filtro Tipo de Usuário.

O gráfico a seguir resume as características dos tipos de usuário:

Esta imagem resume as características dos tipos de usuário.

Quem deve configurar esta integração?

Configure essa integração se o seu IdP for o Oracle Identity Cloud Service ou o Okta e os usuários federados precisarem ter as credenciais especializadas exigidas por alguns serviços e recursos. Por exemplo, se você precisar que seus usuários federados acessem a Oracle Cloud Infrastructure por meio do SDK ou CLI, a configuração dessa integração permite que esses usuários obtenham as chaves da API necessárias para esse acesso.

Pré-requisito

Execute essa configuração de sincronização depois de ter configurado com sucesso uma federação entre seu IdP e a Oracle Cloud Infrastructure. Consulte Provedores de Identidades Suportados.

Ativando o Provisionamento de Usuários

Instruções para Federações do Oracle Identity Cloud Service

Se seu provedor de identidades for o Oracle Identity Cloud Service, você precisará executar uma atualização única.

Importante

Se sua tenancy foi criada em 21 de dezembro de 2018 ou mais recente, sua tenancy será automaticamente configurada para provisionar os usuários do seu Oracle Identity Cloud Service no Oracle Cloud Infrastructure. Não é necessário executar as etapas neste tópico. Consulte Noções Básicas sobre Tipos de Usuário e Gerenciando Recursos do Usuário para Usuários Federados para obter informações sobre o gerenciamento dos usuários federados.
Fazendo Upgrade da Federação do Oracle Identity Cloud Service

Se sua federação com o serviço do Oracle Identity Cloud foi configurada antes de 21 de dezembro de 2018, execute essa tarefa de upgrade único.

Para fazer upgrade da federação do Oracle Identity Cloud Service:

  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Federação.

    Uma lista dos provedores de identidade em sua tenancy é exibida.

  2. Selecione a federação do seu Identity Cloud Service para exibir seus detalhes. Se sua tenancy foi federada automaticamente, ela será listada como OracleIdentityCloudService.
  3. Selecione Editar Mapeamento.

  4. Quando solicitado, informe o ID e segredo de cliente para o aplicativo Oracle Identity Cloud Service e selecione Continuar.

    Onde encontro o ID do cliente e o segredo do cliente?

    O ID e o segredo do cliente são armazenados no Oracle Identity Cloud Service. Para obter essas informações:

      1. Acesse a console do Oracle Identity Cloud Service.
      2. Na console do Identity Cloud Service, clique em Aplicativos. A lista de aplicativos confiáveis é exibida.
      3. Clique em COMPUTEBAREMETAL.
      4. Clique em Configuração.

      5. Expanda Informações Gerais. O ID do cliente é exibido. Clique em Mostrar Segredo para exibir o segredo do cliente.

        A tela mostra a chave secreta do cliente na console do Oracle Identity Cloud Service

Aguarde alguns minutos para que as alterações tenham efeito.

Instruções para Federações do Okta

Se você não tiver uma federação existente com o Okta, siga as instruções no white paper, Configuração do Oracle Cloud Infrastructure Okta para Federação e Provisionamento. Este white paper inclui instruções para a configuração da federação e do provisionamento com o SCIM.

Se você tiver uma federação existente com o Okta com mapeamentos de grupo que deseja manter, poderá adicionar o provisionamento do SCIM da seguinte forma:

  1. No Okta, exclua o aplicativo SAML existente que você configurou originalmente para federar com oOracle Cloud Infrastructure.

  2. Configure um novo aplicativo SAML no Okta de acordo com as instruções no white paper, Configuração do Oracle Cloud Infrastructure Okta para Federação e Provisionamento, com as seguintes exceções:

    • Vá para as etapas para Adicionar Provedor de Identidades ao Oracle Cloud Infrastructure (você já tem este recurso no Oracle Cloud Infrastructure).
    • Em vez disso, selecione Editar Provedor de Identidades e carregue o novo documento metadata.xml do novo aplicativo Okta que você criou.
    • Em seguida, no Oracle Cloud Infrastructure, certifique-se de Redefinir Credenciais. Adicione o novo ID do Cliente e o Segredo à página de definições de integração da API no Okta (Etapa 7 no white paper).

O que Esperar Após o Upgrade

Quando o sistema tiver tido tempo para sincronizar, você poderá gerenciar recursos de usuário para usuários federados na Console. Os usuários que pertencem a um grupo mapeado para um grupo no Oracle Cloud Infrastructure são listados na página Usuários da Console. Sempre que você adicionar novos usuários a grupos mapeados no Oracle Identity Cloud Service, eles estarão disponíveis na Console após a sincronização do sistema.

Por default, os seguintes recursos do usuário são ativados:

  • Chaves de API
  • Tokens de autenticação
  • Credenciais SMTP
  • chaves secretas do cliente

Observe que você não pode ativar uma senha local. A senha de console da Oracle Cloud Infrastructure ainda é gerenciada somente no IdP.

Para obter mais informações sobre recursos do usuário, consulte Gerenciando Recursos do Usuário para Usuários Federados.

Redefinindo Credenciais

Use o botão Redefinir Credenciais para redefinir suas credenciais de cliente SCIM. É possível executar esta tarefa periodicamente como uma medida de segurança para rotacionar suas credenciais. Após redefinir essas credenciais, você precisará atualizar o aplicativo SAML no seu provedor de identidades com as novas credenciais.

Observação: Se o seu IdP for o Oracle Identity Cloud Service, o Oracle Cloud Infrastructure redefinirá automaticamente as credenciais com o Oracle Identity Cloud Service para você. Não é necessário redefinir manualmente a configuração.

Ações que Você Ainda Executa no Provedor de Identidades

Depois que a integração for configurada, continue executando as seguintes ações no IdP:

  • Criar usuários e designá-los aos grupos.

  • Excluir usuários.

    Os usuários que você exclui do seu IdP são removidos do Oracle Cloud Infrastructure quando o próximo ciclo de sincronização é concluído.

  • Consultar associações de grupos.
  • Gerenciar senhas de acesso para usuários.