Documentação do Oracle Cloud Infrastructure

Gerenciando um Provedor de Identidades SAML

Use a Console para adicionar um provedor de identidades SAML 2.0 (IdP) a um domínio de identidades para que os usuários autenticados do IdP possam acessar o Oracle Cloud Infrastructure e acessar recursos e aplicativos na nuvem.

Termos comuns

Provedor da Identidade (IdP)

IdP é um serviço que fornece credenciais e autenticação de identificação para os usuários.

Provedor de Serviços (SP)

Um serviço (como um aplicativo, um site e assim por diante) que chama um IdP para autenticar usuários.

Usar as seguintes etapas para criar uma SAML 2.0 IdP:

Configurando o Provisionamento JIT SAML

O Provisionamento JIT SAML pode ser configurado usando a Console ou o ponto final da API REST /admin/v1/IdentityProviders. Consulte as seguintes referências para configurar o Provisionamento JIT SAML:

Adicionando um Provedor de Identidades SAML

Informando os detalhes SAML de um provedor de identidades.

  1. Na página de lista Domínios, selecione o domínio no qual deseja fazer alterações. Se precisar de ajuda para localizar a página de lista do domínio, consulte Listando Domínios de Identidade.
  2. Na página de detalhes, dependendo das opções que você vê, execute um dos seguintes procedimentos:
    • selecione Federação ou
    • selecione Segurança e, em seguida, selecione Provedores de identidade. Uma lista de provedores de identidades no domínio é exibida.
  3. Dependendo das opções exibidas, execute uma das seguintes ações:
    • usando o menu Ações do provedor de identidades, selecione Adicionar SAML IdP ou
    • selecione Adicionar IdP e, em seguida, Adicionar SAML IdP.
  4. Especifique as informações a seguir:
    • Nome: Informe o nome da IdP.
    • (Opcional) Descrição: Informe uma descrição da IdP.
    • (Opcional) Ícone do provedor de identidade: Arraste e solte uma imagem suportada ou selecione selecionar uma para procurar a imagem.
  5. Selecione Próximo.
  6. Na tela Trocar metadados, selecione o botão Exportar metadados SAML para enviar os metadados SAML ao provedor de identidades. Execute um dos seguintes procedimentos:
    • Importar metadados IdP: selecione esta opção se você tiver um arquivo XML exportado do IdP. Arraste e solte o arquivo XML para fazer upload dos metadados ou selecione selecionar um para procurar o arquivo de metadados.
    • Informar metadados IdP: Selecione essa opção se quiser informar manualmente os metadados IdP. Forneça os seguintes detalhes:
      • URI do emissor do provedor de identidades
      • URI do serviço SSO
      • Binding do serviço SSO
      • Fazer upload do certificado de assinatura do provedor de identidades
      • Ativar log-out global
    • Importar URL IdP: Informe o URL de seus metadados IdP.
  7. Selecione Mostrar opções avançadas se quiser selecionar o seguinte:
    • Algoritmo de hash da assinatura: Selecione SHA-256 ou SHA-1
    • Exigir asserção criptografada: Indica que a autorização do domínio de identidades espera uma asserção criptografada do IdP.
    • Forçar autenticação: Selecione essa opção para exigir que os usuários façam a autenticação com o IdP, mesmo que a sessão ainda seja válida.
    • Contexto de autenticação solicitado: Selecione referências de classe de conteúdo de autenticação.
    • Confirmação de assunto do Titular da Chave obrigatória: disponível depois que você faz upload de um arquivo de metadados válido suportado pelo Holder-of-Key (HOK).
    • Enviar certificado de assinatura com mensagem SAML: Selecione esta opção para incluir o certificado de assinatura do domínio de identidades com mensagens SAML enviadas pelo seu domínio de identidades. Alguns provedores SAML exigem que o certificado de assinatura procure a configuração do parceiro SAML.
  8. Selecione Próximo.
  9. Na tela Adicionar provedor de identidades SAML, faça o seguinte:
    1. Selecione um formato de ID do Nome Solicitado.
  10. Mapeie os atributos de identidade do usuário recebidos do IdP para um domínio de identidades do Oracle Cloud Infrastructure.
    As opções de mapeamento variam de acordo com o provedor de identidades. Você pode designar diretamente um valor IdP a um valor de domínio de identidades do Oracle Cloud Infrastructure. Por exemplo, NameID pode ser mapeado para UserName. Se você selecionar o atributo de asserção SAML como origem, selecione o nome do atributo de Asserção e informe o domínio de identidades do Oracle Cloud Infrastructure.
  11. Selecione Enviar.
  12. Na tela Revisar e criar, revise as definições do provedor de identidades SAML. Se as definições estiverem corretas, selecione Criar. Selecione Editar ao lado do conjunto de definições, se precisar alterá-las.
  13. A Console exibe uma mensagem quando o provedor de identidades SAML é criado. Você pode fazer o seguinte na página de visão geral:
    • Selecione Testar para verificar se a conexão SSO do SAML está funcionando corretamente.
    • Selecione Ativar para ativar a IdP para que o domínio de identidades possa usá-lo.
    • Selecione Designar à regra de política IdP para designar esse provedor de identidades SAML a uma regra de política existente que você criou.
  14. Selecione Fechar.
Importar Metadados para um Provedor de Identidades SAML

Importe os metadados SAML para um provedor de identidades.

  1. Na página de lista Domínios, selecione o domínio no qual deseja fazer alterações. Se precisar de ajuda para localizar a página de lista do domínio, consulte Listando Domínios de Identidade.
  2. Na página de detalhes, dependendo das opções que você vê, execute um dos seguintes procedimentos:
    • selecione Federação ou
    • selecione Segurança e, em seguida, selecione Provedores de identidade. Uma lista de provedores de identidades no domínio é exibida.
  3. Dependendo das opções exibidas, execute uma das seguintes ações:
    • usando o menu Ações do provedor de identidades, selecione Adicionar SAML IdP ou
    • selecione Adicionar IdP e, em seguida, Adicionar SAML IdP.
  4. Digite os detalhes do IdP:
    Campo Descrição
    Nome Digite o nome do IdP.
    Descrição Digite informações explicativas sobre o IdP.
    Ícone Procure e selecione ou arraste e solte um ícone que represente o IdP. O ícone deve ter 95 x 95 pixels de tamanho e ter um plano de fundo transparente. Os formatos de arquivo suportados são .png, .fig, .jpg, .jpeg.
  5. Selecione Próximo. Digite os detalhes da configuração:
    Campo Descrição
    Importar metadados do provedor de identidades Selecione essa opção para importar os metadados do IdP.
    Metadados do provedor de identidades Selecione o arquivo XML que contém os metadados do IdP que você deseja importar.

    Observação: Você só pode definir um IdP no domínio da identidade com um ID de Emissor específico, também conhecido como o ID do Provedor ou ID da Entidade. O atributo ID da Entidade faz parte dos metadados do IdP; portanto, você só pode criar um IdP com um determinado arquivo de metadados. Além disso, você pode atualizar um IdP com novos metadados, mas não pode alterar o ID do Emissor.
    Enviar certificado de assinatura com mensagem SAML

    Para incluir o certificado de assinatura do domínio da identidade com mensagens SAML enviadas para o IdP, marque esta caixa de seleção. O certificado de assinatura é usado para verificar a assinatura das mensagens do IdP. Em geral, isso não é necessário, mas alguns IdPs exigem isso como parte do processo de verificação de assinatura.
    Algoritmo de hash da assinatura
    Selecione o algoritmo de hash seguro a ser usado para assinar mensagens enviadas para o IdP.
    • SHA-256 é o padrão.

    • Se o IDP não suportar SHA-256, selecione SHA-1.
  6. Selecione Próximo. Configure o mapeamento entre os atributos do IdP e do usuário do domínio de identidades:
    Campo Descrição
    Atributo de usuário do provedor de identidades

    Selecione o valor de atributo de usuário recebido do IdP que pode ser usado para identificar exclusivamente o usuário.

    Você pode especificar o ID de Nome da asserção. Ou você pode especificar outro atributo SAML da asserção digitando-o na caixa Atributo de asserção.
    Atributo de usuário do domínio de identidades

    Selecione o atributo no domínio de identidades para o qual você está mapeando o atributo recebido do IdP.

    Você pode especificar o nome de usuário ou outro atributo (como o nome para exibição, o endereço de e-mail principal ou de recuperação ou um ID externo do usuário). Use o ID externo quando quiser mapear o atributo recebido do IdP para um ID especial associado ao provedor.
    Formato de NameID solicitado

    Quando as solicitações de autenticação SAML são enviadas para o IdP, você pode especificar um formato de ID de Nome na solicitação.

    Se o IdP não exigir isso na solicitação, selecione <Nenhum Solicitado>.
  7. Selecione Create IdP. Exporte os metadados SAML do domínio de identidades:
    Tarefa Descrição
    Metadados do provedor de serviços

    Para exportar metadados do domínio de identidades, selecione Fazer Download. Em seguida, importe esses metadados para o IdP. Se o IdP não suportar a importação de um documento XML de metadados SAML, use as informações a seguir para configurar manualmente o IdP.

    Se o parceiro da federação no qual você está importando os metadados do domínio de identidades executar a validação de CRL (por exemplo, o AD FS executa a validação de CRL) em vez de usar os metadados exportados nesse botão, faça download dos metadados em: https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Ative a opção em Acessar Certificado de Assinatura em Definições Padrão para permitir que os clientes acessem os metadados sem fazer log-in no domínio de identidades.
    Metadados do provedor de serviços com certificados autoassinados

    Para exportar metadados do domínio de identidades com certificados autoassinados, selecione Fazer Download. Em seguida, importe esses metadados para o IdP. Se o IdP não suportar a importação de um documento XML de metadados SAML, use as informações a seguir para configurar manualmente o IdP.

    Se o parceiro da federação no qual você está importando os metadados do domínio de identidades executar a validação de CRL (por exemplo, o AD FS executa a validação de CRL) em vez de usar os metadados exportados nesse botão, faça download dos metadados em: https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Ative a opção em Acessar Certificado de Assinatura em Definições Padrão para permitir que os clientes acessem os metadados sem fazer log-in no domínio de identidades.
    ID Provedor

    O URI (Identificador Uniforme de Recursos) que identifica de forma exclusiva o domínio de identidades. O ID do Provedor também é conhecido como ID do Emissor ou ID da Entidade.
    URL do serviço do consumidor de asserção O URL (Uniform Resource Locator) do ponto final de serviço do domínio de identidades que recebe e processa asserções do IdP.
    URL do ponto final do serviço de log-out O URL do ponto final de serviço do domínio de identidades que recebe e processa solicitações de log-out do IdP.
    URL de retorno do serviço de log-out O URL do ponto final de serviço do domínio de identidades que recebe e processa respostas de log-out do IdP.
    Certificado de assinatura do provedor de serviços Para exportar o certificado de assinatura do domínio, selecione Fazer Download. Selecione o arquivo que contém o certificado de assinatura. Esse certificado é usado pelo IdP para verificar a assinatura nas solicitações e respostas SAML enviadas pelo domínio de identidades para o IdP.
    Certificado de criptografia do provedor de serviços Para exportar o certificado de criptografia do domínio, selecione Fazer Download. Selecione o arquivo que contém o certificado de criptografia. Esse certificado é usado pelo IdP para criptografar asserções SAML que ele envia para o domínio de identidades. Isso só será necessário se o IdP suportar asserções criptografadas.

    Para obter o certificado raiz do domínio de identidades de emissão, consulte Obter o Certificado da CA Raiz.

  8. Selecione Próximo.
  9. Na página Testar IdP, selecione Testar log-in para testar as definições de configuração do IdP. (Você deve estar conectado ao domínio de identidades para o qual configurou o IdP para testar as definições de configuração.)
  10. Selecione Próximo.
  11. Na página Ativar IdP, selecione Ativar para ativar a IdP.
  12. Selecione Finalizar.

Exportando Metadados do SAML

Exportando os metadados SAML para um domínio de identidades no serviço IAM.

  1. Na página de lista Domínios, selecione o domínio no qual deseja fazer alterações. Se precisar de ajuda para localizar a página de lista do domínio, consulte Listando Domínios de Identidade.
  2. Na página de detalhes, dependendo das opções que você vê, execute um dos seguintes procedimentos:
    • selecione Federação ou
    • selecione Segurança e, em seguida, selecione Proiders de identidades. Uma lista de provedores de identidades no domínio é exibida.
  3. Abra um provedor de identidades.
  4. Selecione Exportar metadados SAML.
  5. Selecione uma das seguintes opções:
    • Arquivo de Metadados: Selecione fazer download do arquivo de metadados XML SAML ou fazer download dos metadados XML SAML com certificados autoassinados.
    • Exportação Manual: A exportação manual dos metadados permite que você escolha entre várias opções SAML, por exemplo, o ID da Entidade ou o URL de resposta de Log-out. Depois de copiar o arquivo de exportação, você pode fazer download do Certificado de assinatura do provedor de serviços ou do Certificado de criptografia do provedor de serviços.
    • URL de Metadados: Se o seu IdP suportar o download de metadados SAML diretamente. Selecione Acessar certificado de assinatura para permitir que os clientes acessem o certificado de assinatura sem precisar fazer log-in em um IdP.

Configurando metadados IdP

Informe os detalhes dos metadados IdP manualmente ou importe um arquivo de metadados.

  1. Selecione uma das seguintes opções:
    • Importar metadados IdP: selecione esta opção se você tiver um arquivo XML exportado do IdP. Arraste e solte o arquivo XML para fazer upload dos metadados ou selecione selecionar um para procurar o arquivo de metadados.
    • Informar metadados IdP: Selecione essa opção se quiser informar manualmente os metadados IdP. Forneça os seguintes detalhes:
      • URI do emissor do provedor de identidades:
      • URI do serviço SSO
      • Binding do serviço SSO
      • Fazer upload do certificado de assinatura do provedor de identidades
      • Fazer upload do certificado de criptografia do provedor de identidades
      • Ativar log-out global
      • URL de solicitação de log-out do provedor de identidades
      • URL de resposta de log-out do provedor de identidades
      • Binding de log-out
  2. Selecione o método Algoritmo de hash da assinatura.
  3. Selecione se deseja usar um Certificado de assinatura assinado com mensagem SAML.
  4. Selecione Próximo.

Mapeando atributos do usuário

Mapeie o relacionamento entre os atributos do usuário IdP e os atributos do usuário do domínio de identidades.

  1. No campo Formato de ID do Nome Solicitado, selecione uma opção de mapeamento.

    As opções de mapeamento variam de acordo com o provedor de identidades. Você pode designar diretamente um valor IdP a um valor de domínio de identidades do Oracle Cloud Infrastructure. Por exemplo, NameID pode ser mapeado para UserName. Se você selecionar o atributo de asserção SAML como origem, selecione o nome do atributo de Asserção e informe o domínio de identidades do Oracle Cloud Infrastructure.

    Se você selecionar Personalizado, informe os detalhes no campo Formato de ID do Nome Personalizado.

  2. Selecione os campos no Atributo de usuário do provedor de identidades e selecione um campo correspondente no Atributo de usuário do domínio de identidades.
  3. Selecione Próximo.

Analisando e criando o IdP

Verifique se as opções IdP estão precisas e crie o IdP.

  1. Selecione Testar log-in para abrir a tela de acesso IdP.
  2. Selecione Criar IdP.
    Observação

    Para editar um IdP após criá-lo, vá para a lista Provedores de Identidade, selecione o IdP e edite o IdP.