Documentação do Oracle Cloud Infrastructure

Gerenciando Provedores de Identidade

Você pode configurar o log-in federado entre um domínio de identidades e um provedor de identidades externo. Isso permite que os usuários acessem os recursos do Oracle Cloud Infrastructure usando log-ins e senhas existentes gerenciados pelo provedor de identidades.

Política ou Atribuição Obrigatória

Para gerenciar definições de segurança do domínio de identidades e provedores de identidade, você deve ter uma das seguintes concessões de acesso:
  • Ser membro do grupo de Administradores
  • Ter recebido a atribuição Administrador de Domínio de Identidades ou Administrador de Segurança
  • Ser membro de um grupo com permissões manage identity-domains concedidas

Para entender mais sobre políticas e atribuições, consulte O Grupo de Administradores, a Política e as Atribuições de Administrador, Noções Básicas de Atribuições de Administrador e Noções Básicas de Políticas.

Sobre Provedores de Identidade e Provedores de Serviço

Sobre provedores de identidade e provedores de serviço.

Um provedor de identidades, também conhecido como autoridade de autenticação, fornece autenticação externa para usuários que desejam acessar um domínio de identidades usando as credenciais do provedor externo. Embora um domínio de identidades possa servir como provedor de identidades para um provedor de serviços de terceiros, nesse contexto em que ele confia em um provedor de identidades para autenticar usuários que acessam o domínio de identidades, ele é o provedor de serviços. De modo mais geral, você também pode pensar no Oracle Cloud Infrastructure como provedor de serviços porque ele fornece os serviços e os recursos que os usuários desejam acessar.

Por exemplo, sua organização pode desejar que os usuários acessem e obtenham acesso ao Oracle Cloud Services usando as credenciais do Microsoft Active Directory Federation Services (ADFS). Nesse caso, o Microsoft AD FS age como provedor de identidades (IdP) e o domínio de identidades funciona como provedor de serviços (SP). O MS AD FS autentica o usuário e retorna um token que contém informações de identidade e autenticação para o domínio de identidades (por exemplo, o nome do usuário e o endereço de e-mail do usuário). Esse token de segurança é assinado digitalmente pelo IdP. O SP verifica a assinatura no token e, em seguida, usa as informações de identidade para estabelecer uma sessão autenticada para o usuário. Isso é conhecido como sign-on único federado no qual um usuário é desafiado a informar as credenciais de um domínio e recebe acesso a outro domínio.

Para federar uma Ponte do Microsoft Active Directory, consulte Configurando uma Ponte do Microsoft Active Directory (AD).

Sobre Certificados Digitais

Um certificado digital é como um passaporte eletrônico que ajuda uma pessoa, um computador ou uma organização a trocar informações com segurança pela internet usando criptografia de chave pública. Um certificado digital pode ser referido como certificado de chave pública.

Assim como um passaporte, um certificado digital fornece informações de identificação, é resistente à falsificação e pode ser verificado porque é emitido por uma agência oficial confiável. O certificado pode conter o nome do titular, um número de série, datas de expiração, uma cópia da chave pública do titular do certificado (usada para criptografar mensagens e verificar assinaturas digitais) e a assinatura digital da autoridade de emissão de certificado (CA) para que um destinatário possa verificar se o certificado é real

Para verificar as assinaturas dos provedores de identidade externos, o provedor de serviços armazena cópias de seus certificados de assinatura. Quando o provedor de serviços recebe uma mensagem assinada de um provedor de identidades, para que o certificado armazenado possa ser usado para verificar a assinatura, ele deve ser verificado como válido. A validação do certificado inclui verificar se o certificado não expirou. Depois que o certificado for validado, ele será usado para verificar a assinatura na mensagem.

Para que essa operação seja bem-sucedida, a chave pública incorporada no certificado deve corresponder à chave privada que o provedor de identidades usou para assinar a mensagem.

O que Acontece Quando o Certificado de um Provedor de Identidades Expira?

Se o certificado de assinatura de um provedor de identidades expirar e eles alterarem seu par de chaves de assinatura quando renovarem o certificado, a validação da assinatura falhará e o domínio de identidades não poderá concluir as operações de sign-on único (SSO) para os usuários desse provedor de identidades. Portanto, quando o certificado de um provedor de identidades estiver próximo da data de expiração, faça planos para substituí-lo. O processo típico é o seguinte:
  1. Obtenha o novo certificado de assinatura do provedor de identidades. Isso pode ser publicado pelo provedor de identidades para download de autoatendimento ou você pode precisar entrar em contato com o administrador do provedor de identidades.
  2. Carregue o novo certificado de assinatura na configuração do domínio de identidades do provedor de identidades.
  3. Se o provedor de identidades também tiver renovado seu par de chaves privada/pública de assinatura (em vez de apenas reemitir um novo certificado para o par de chaves existente), atualize a configuração do provedor de identidades para começar a usar as novas chaves para assinar mensagens. Mais uma vez, isso pode ser por autoatendimento ou exigir coordenação com o administrador do provedor de identidades.
Observação

Se o provedor de identidades renovar seu par de chaves de assinatura, o SSO falhará durante o período entre a Etapa 2 e a Etapa 3 acima. Por esse motivo, a atualização do certificado geralmente é coordenada entre o provedor de identidades e os administradores de domínio de identidades.

Sobre o Provisionamento Just-In-Time SAML

O Provisionamento Just-In-Time (JIT) SAML automatiza a criação de conta de usuário quando o usuário tenta pela primeira vez executar SSO e o usuário ainda não existe no domínio de identidades. Além da criação automática de usuário, o JIT permite conceder e revogar associações de grupos como parte do provisionamento. O JIT pode ser configurado para atualizar os usuários provisionados, de forma que os atributos de usuários no armazenamento do provedor de serviços (SP) possam ser mantidos sincronizados com os atributos de armazenamento de usuário do provedor de identidades (IdP).

Benefícios

As vantagens do JIT são:
  • O alcance das contas de usuário no domínio de identidades é limitado aos usuários que realmente acessam por meio de SSO federado, em vez de todos os usuários no diretório do IdP.
  • Custos administrativos reduzidos à medida que as contas são criadas sob demanda como parte do processo de SSO e os armazenamentos de usuários do provedor de identidades e do provedor de serviços não precisam ser sincronizados manualmente.
  • Qualquer novo usuário adicionado posteriormente ao armazenamento de usuários do provedor de identidades não exigirá que os administradores criem manualmente contas de provedores de serviço correspondentes (os usuários sempre estarão sincronizados).

Como Funciona

Há quatro fluxos de runtime para o Provisionamento JIT:
Ao acessar, o usuário: Fluxo
Existe no SP e o provisionamento JIT está ativado. Fluxo de SSO normal.
Não existe no SP e o provisionamento JIT não está ativado. Fluxo de falha normal de SSO.
Não existe no SP e o usuário de criação JIT está ativado. O usuário é criado e preenchido com os atributos de asserção SAML, conforme mapeado na configuração JIT.
Existe no SP e a atualização JIT está ativada. Os valores de atributo de usuário são atualizados com os atributos de asserção SAML, conforme mapeado na configuração JIT.