Documentação do Oracle Cloud Infrastructure

Gerenciando um Provedor de Identidades SAML

Use a Console para adicionar um provedor de identidades SAML 2.0 (IdP) a um domínio de identidades para que os usuários autenticados do IdP possam acessar o Oracle Cloud Infrastructure possam acessar recursos e aplicativos na nuvem.

Termos comuns

Provedor de identidades (IdP)

IdP é um serviço que fornece credenciais de identificação e autenticação para usuários.

Provedor de Serviços (SP)

Um serviço (como um aplicativo, um site e assim por diante) que chama um IdP para autenticar usuários.

Use as seguintes etapas para criar um SAML 2.0 IdP:

Configurando o Provisionamento JIT SAML

O Provisionamento JIT SAML pode ser configurado usando o ponto final da Console ou da API REST /admin/v1/IdentityProviders. Consulte as seguintes referências para configurar o Provisionamento JIT SAML:

Adicionando um Provedor de Identidades SAML

Informando os detalhes do SAML para um provedor de identidades.

  1. Navegue até o domínio de identidades: Abra o menu de navegação e clique em Segurança de Identidade. Em Identidade, clique em Domínios.
  2. Clique no nome do domínio de identidades no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Em seguida, clique em Segurança e em Provedores de identidades.
  3. Clique em Adicionar IdP; em seguida, clique em Adicionar IdP SAML.
  4. Especifique as informações a seguir:
    • Nome: Digite o nome do IdP.
    • (Opcional) Descrição: Especifique uma descrição de IdP.
    • (Opcional) Ícone do provedor de identidades: Arraste e solte uma imagem compatível ou clique em Selecionar uma para procurar a imagem.
  5. Clique em Próximo.
  6. Na tela Trocar metadados, clique no botão Exportar metadados SAML para enviar os metadados SAML ao provedor de identidades. Execute um dos seguintes procedimentos:
    • Importar metadados IdP: selecione esta opção se você tiver um arquivo XML exportado do seu IdP. Arraste e solte o arquivo XML para fazer upload dos metadados ou clique em selecionar um para procurar o arquivo de metadados.
    • Digite metadados IdP: Selecione essa opção se quiser digitar manualmente os metadados IdP. Forneça os seguintes detalhes:
      • URI do emissor do provedor de identidades
      • URI do serviço SSO
      • Binding do serviço SSO
      • Fazer upload do certificado de assinatura do provedor de identidades
      • Ativar log-out global
    • URL de Importação IdP: Informe o URL dos seus metadados IdP.
  7. Clique em Mostrar opções avançadas se desejar selecionar o seguinte:
    • Algoritmo de hash da assinatura: Selecione SHA-256 ou SHA-1
    • Exigir asserção criptografada: Indica que a autorização do domínio de identidades espera uma asserção criptografada do IdP.
    • Forçar autenticação: Selecione essa opção para exigir que os usuários se autentiquem com o IdP, mesmo que a sessão ainda seja válida.
    • Contexto de autenticação solicitado: Selecione referências de classe de conteúdo de autenticação.
    • Confirmação do assunto do Titular da Chave obrigatória: disponível após o upload de um arquivo de metadados válido suportado pelo Titular da Chave (HOK).
    • Enviar certificado de assinatura com mensagem SAML: Selecione esta opção para incluir o certificado de assinatura do domínio de identidades com mensagens SAML enviadas pelo seu domínio de identidades. Alguns provedores SAML exigem o certificado de assinatura para procurar a configuração do parceiro SAML.
  8. Clique em Próximo.
  9. Na tela Trocar metadados, clique no botão Exportar metadados SAML para enviar os metadados SAML ao provedor de identidades. Execute um dos seguintes procedimentos:
    • Importar metadados IdP: selecione esta opção se você tiver um arquivo XML exportado do seu IdP. Arraste e solte o arquivo XML para fazer upload dos metadados ou clique em selecionar um para procurar o arquivo de metadados.
    • Digite metadados IdP: Selecione essa opção se quiser digitar manualmente os metadados IdP. Forneça os seguintes detalhes:
      • URI do emissor do provedor de identidades
      • URI do serviço SSO
      • Binding do serviço SSO
      • Fazer upload do certificado de assinatura do provedor de identidades
      • Ativar log-out global
    • URL de Importação IdP: Informe o URL dos seus metadados IdP.
  10. Clique em Mostrar opções avançadas se desejar selecionar o seguinte:
    • Algoritmo de hash da assinatura: Selecione SHA-256 ou SHA-1
    • Exigir asserção criptografada: Indica que a autorização do domínio de identidades espera uma asserção criptografada do IdP.
    • Forçar autenticação: Selecione essa opção para exigir que os usuários se autentiquem com o IdP, mesmo que a sessão ainda seja válida.
    • Contexto de autenticação solicitado: Selecione referências de classe de conteúdo de autenticação.
    • Confirmação do assunto do Titular da Chave obrigatória: disponível após o upload de um arquivo de metadados válido suportado pelo Titular da Chave (HOK).
    • Enviar certificado de assinatura com mensagem SAML: Selecione esta opção para incluir o certificado de assinatura do domínio de identidades com mensagens SAML enviadas pelo seu domínio de identidades. Alguns provedores SAML exigem o certificado de assinatura para procurar a configuração do parceiro SAML.
  11. Clique em Próximo.
  12. Na tela Adicionar provedor de identidades SAML, faça o seguinte:
    1. Selecione um formato de ID do Nome Solicitado.
  13. Mapeie os atributos de identidade do usuário recebidos do IdP para um domínio de identidades do Oracle Cloud Infrastructure.
    As opções de mapeamento variam com base no provedor de identidades. Talvez você possa designar diretamente um valor IdP a um valor de domínio de identidades do Oracle Cloud Infrastructure. Por exemplo, NameID pode ser mapeado para UserName. Se você selecionar o atributo de asserção SAML como a origem, selecione o nome do atributo Asserção e informe o domínio de identidades do Oracle Cloud Infrastructure.
  14. Clique em Enviar.
  15. Na tela Verificar e criar, revise as definições do provedor de identidades SAML. Se as configurações estiverem corretas, clique em Criar. Clique em Editar próximo do conjunto de configurações, se você precisar alterá-las.
  16. A console exibe uma mensagem quando o provedor de identidades SAML é criado. Você pode fazer o seguinte na página de visão geral:
    • Clique em Testar para verificar se a conexão SSO SAML está funcionando corretamente.
    • Clique em Ativar para ativar o IdP, de forma que o domínio de identidades possa usá-lo.
    • Clique em Designar à regra de política IdP para atribuir esse provedor de identidades SAML a uma regra de política existente criada por você.
  17. Clique emFechar.
Importar Metadados para um Provedor de Identidades SAML

Importe os metadados SAML para um provedor de identidades.

  1. Abra o menu de navegação e clique em Segurança de Identidade. Em Identidade, clique em Domínios.
  2. Clique no nome do domínio de identidades no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Em seguida, clique em Segurança e em Provedores de identidades.
  3. Clique em Adicionar IdP; em seguida, clique em Adicionar IdP SAML.
  4. Digite os detalhes do IdP:
    Campo Descrição
    Nome Digite o nome do IdP.
    Descrição Digite informações explicativas sobre o IdP.
    Ícone Procure e selecione ou arraste e solte um ícone que represente o IdP. O ícone deve ter 95 x 95 pixels de tamanho e ter um plano de fundo transparente. Os formatos de arquivo suportados são .png, .fig, .jpg, .jpeg.
  5. Clique em Próximo. Digite os detalhes da configuração:
    Campo Descrição
    Importe os metadados do provedor de identidades Selecione essa opção para importar os metadados do IdP.
    Metadados do provedor de identidades Selecione o arquivo XML que contém os metadados do IdP que você deseja importar.

    Observação: Você só pode definir um IdP no domínio de identidades com um ID de Emissor específico, também conhecido como ID do Provedor ou ID da Entidade. O atributo ID da Entidade faz parte dos metadados do IdP; portanto, você só pode criar um IdP com um determinado arquivo de metadados. Além disso, você pode atualizar um IdP com novos metadados, mas não pode alterar o ID do Emissor.
    Enviar certificado de assinatura com mensagem SAML

    Para incluir o certificado de assinatura do domínio de identidades com mensagens SAML enviadas para o IdP, marque essa caixa de seleção. O certificado de assinatura é usado para verificar a assinatura das mensagens do IdP. Em geral, isso não é necessário, mas alguns IdPs exigem isso como parte do processo de verificação de assinatura.
    Algoritmo de hash da assinatura
    Selecione o algoritmo de hash seguro a ser usado para assinar mensagens enviadas para o IdP.
    • SHA-256 é o padrão.

    • Se o IDP não suportar SHA-256, selecione SHA-1.
  6. Clique em Próximo. Configure o mapeamento entre os atributos do IdP e do usuário do domínio de identidades:
    Campo Descrição
    Atributo de usuário do provedor de identidades

    Selecione o valor de atributo de usuário recebido do IdP que pode ser usado para identificar exclusivamente o usuário.

    Você pode especificar o ID do Nome da asserção. Ou pode especificar outro atributo SAML da asserção digitando-o na caixa de texto Atributo de Asserção.
    Atributo de usuário do domínio de identidades

    Selecione o atributo no domínio de identidades para o qual você está mapeando o atributo recebido do IdP.

    Você pode especificar o nome de usuário ou outro atributo (como o nome para exibição, o endereço de e-mail principal ou de recuperação ou um ID externo do usuário). Use o ID externo quando quiser mapear o atributo recebido do IdP para um ID especial associado ao provedor.
    Formato NameID solicitado

    Quando as solicitações de autenticação SAML são enviadas para o IdP, você pode especificar um formato de ID de Nome na solicitação.

    Se seu IdP não exigir isso na solicitação, selecione <Nenhum Solicitado>.
  7. Clique em Criar IdP. Exporte os metadados SAML do domínio de identidades:
    Tarefa Descrição
    Metadados do provedor de serviços

    Para exportar metadados do domínio de identidades, clique em Fazer Download. Em seguida, importe esses metadados para o IdP. Se o IdP não suportar a importação de um documento XML de metadados SAML, use as informações a seguir para configurar manualmente o IdP.

    Se o parceiro da federação no qual você está importando os metadados do domínio de identidades executar a validação de CRL (por exemplo, o AD FS executa a validação de CRL) em vez de usar os metadados exportados nesse botão, faça download dos metadados em: https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Ative a opção em Acessar Certificado de Assinatura em Definições Padrão para permitir que os clientes acessem os metadados sem fazer log-in no domínio de identidades.
    Metadados do provedor de serviços com certificados autoassinados

    Para exportar metadados do domínio de identidades com certificados autoassinados, clique em Fazer Download. Em seguida, importe esses metadados para o IdP. Se o IdP não suportar a importação de um documento XML de metadados SAML, use as informações a seguir para configurar manualmente o IdP.

    Se o parceiro da federação no qual você está importando os metadados do domínio de identidades executar a validação de CRL (por exemplo, o AD FS executa a validação de CRL) em vez de usar os metadados exportados nesse botão, faça download dos metadados em: https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Ative a opção em Acessar Certificado de Assinatura em Definições Padrão para permitir que os clientes acessem os metadados sem fazer log-in no domínio de identidades.
    ID do Provedor

    O URI (Identificador Uniforme de Recursos) que identifica de forma exclusiva o domínio de identidades. O ID do Provedor também é conhecido como ID do Emissor ou ID da Entidade.
    URL do serviço consumidor de asserção O URL (Uniform Resource Locator) do ponto final de serviço do domínio de identidades que recebe e processa asserções do IdP.
    URL do ponto final do serviço de log-out O URL do ponto final de serviço do domínio de identidades que recebe e processa solicitações de log-out do IdP.
    URL de retorno do serviço de log-out O URL do ponto final de serviço do domínio de identidades que recebe e processa respostas de log-out do IdP.
    Certificado de assinatura do provedor de serviços Para exportar o certificado de assinatura do domínio de identidades, clique em Fazer Download. Selecione o arquivo que contém o certificado de assinatura. Esse certificado é usado pelo IdP para verificar a assinatura nas solicitações e respostas SAML enviadas pelo domínio de identidades para o IdP.
    Certificado de criptografia do provedor de serviços Para exportar o certificado de criptografia do domínio de identidades, clique em Fazer Download. Selecione o arquivo que contém o certificado de criptografia. Esse certificado é usado pelo IdP para criptografar asserções SAML que ele envia para o domínio de identidades. Isso só será necessário se o IdP suportar asserções criptografadas.

    Para obter o certificado raiz do domínio de identidades de emissão, consulte Obter o Certificado da CA Raiz.

  8. Clique em Próximo.
  9. Na página Testar IdP, clique em Testar log-in para testar as definições de configuração do IdP. (Você deve estar conectado ao domínio de identidades para o qual configurou o IdP para testar as definições de configuração.)
  10. Clique em Próximo.
  11. Na página Ativar IdP, clique em Ativar para ativar o IdP.
  12. Clique em Concluir.

Exportando Metadados SAML

Exportando os metadados SAML para um domínio de identidades no serviço IAM.

  1. Abra o menu de navegação e clique em Segurança de Identidade. Em Identidade, clique em Domínios.
  2. Clique no nome do domínio de identidades no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Em seguida, clique em Segurança e em Provedores de identidades.
  3. Abra um provedor de identidades.
  4. Clique em Exportar metadados SAML.
  5. Selecione uma das seguintes opções:
    • Arquivo de Metadados: Selecione fazer download do arquivo de metadados XML SAML ou faça download dos metadados XML SAML com certificados autoassinados.
    • Exportação Manual: A exportação manual dos metadados permite que você escolha entre várias opções SAML, por exemplo, o ID da Entidade ou o URL de resposta de Log-out. Depois de copiar o arquivo de exportação, você poderá fazer download do Certificado de assinatura do provedor de serviços ou do Certificado de criptografia do provedor de serviços.
    • URL de Metadados: Se o seu IdP suportar o download de metadados SAML diretamente. Clique em Acessar certificado de assinatura para permitir que os clientes acessem o certificado de assinatura sem precisar fazer log-in em um IdP.

Configurando metadados IdP

Informe os detalhes dos metadados IdP manualmente ou importe um arquivo de metadados.

  1. Selecione uma das seguintes opções:
    • Importar metadados IdP: selecione esta opção se você tiver um arquivo XML exportado do seu IdP. Arraste e solte o arquivo XML para fazer upload dos metadados ou clique em selecionar um para procurar o arquivo de metadados.
    • Digite metadados IdP: Selecione essa opção se quiser digitar manualmente os metadados IdP. Forneça os seguintes detalhes:
      • URI do emissor do provedor de identidades:
      • URI do serviço SSO
      • Binding do serviço SSO
      • Fazer upload do certificado de assinatura do provedor de identidades
      • Fazer upload do certificado de criptografia do provedor de identidades
      • Ativar log-out global
      • URL de solicitação de log-out do provedor de identidades
      • URL de resposta de log-out do provedor de identidades
      • Binding de log-out
  2. Selecione o método Algoritmo de hash da assinatura.
  3. Selecione se você deseja usar um Certificado de assinatura assinado com mensagem SAML.
  4. Clique em Próximo.

Mapeando atributos do usuário

Mapeie o relacionamento entre os atributos do usuário IdP e os atributos do usuário do domínio de identidades.

  1. No campo Formato de ID do Nome Solicitado, selecione uma opção de mapeamento.

    As opções de mapeamento variam com base no provedor de identidades. Talvez você possa designar diretamente um valor IdP a um valor de domínio de identidades do Oracle Cloud Infrastructure. Por exemplo, NameID pode ser mapeado para UserName. Se você selecionar o atributo de asserção SAML como a origem, selecione o nome do atributo Asserção e informe o domínio de identidades do Oracle Cloud Infrastructure.

    Se você selecionar Personalizado, digite os detalhes no campo Formato de ID do Nome Personalizado.

  2. Selecione campos no Atributo de usuário do provedor de identidades e selecione um campo correspondente no Atributo de usuário do domínio de identidades.
  3. Clique em Próximo.

Analisando e criando o IdP

Verifique se as opções IdP são precisas e crie o IdP.

  1. Clique em Testar log-in para abrir a tela de acesso IdP.
  2. Clique em Criar IdP.
    Observação

    Para editar um IdP após criá-lo, vá para a lista Provedores de Identidades, selecione o IdP e, em seguida, edite o IdP.