Provisionamento JIT do ADFS para o OCI IAM
Neste tutorial, você configura o Provisionamento Just-In-Time (JIT) entre o OCI e o Microsoft ADFS, onde o ADFS atua como IdP.
Você pode configurar o provisionamento JIT para que as identidades possam ser criadas no sistema de destino durante o runtime, como e quando eles fazem uma solicitação para acessar o sistema de destino.
Este tutorial abrange as seguintes etapas:
- Atualize as configurações da Parte Confiável no ADFS.
- Atualize o ADFS IdP no OCI IAM para JIT.
- Teste se você pode provisionar usuários do ADFS para o OCI IAM.
Observação
Este tutorial é específico do serviço IAM com Domínios de Identidades.
Este tutorial é específico do serviço IAM com Domínios de Identidades.
Antes de Começar
Para executar este tutorial, você deve ter o seguinte:
- Uma conta do Oracle Cloud Infrastructure (OCI) paga ou uma conta de avaliação do OCI. Consulte Oracle Cloud Infrastructure Free Tier.
- Atribuição de administrador de domínio de identidades para o domínio de identidades do OCI IAM. Consulte Noções Básicas sobre Atribuições de Administrador.
- Uma instalação do ADFS. Observação
Este tutorial descreve o uso do software ADFS fornecido com o Microsoft Windows Server 2016 R2. - Além disso, você deve verificar se:
- O mesmo usuário existe no OCI e no ADFS.
- O ADFS está funcionando.
1. Atualizar as Configurações da Parte Confiável no ADFS
- Abra o utilitário de gerenciamento ADFS. Por exemplo, no utilitário do Windows 2016 Server Manager, clique em Ferramentas e, em seguida, clique em Microsoft Active Directory Federation Services Management.
- Em ADFS, clique em Confiança da Parte Confiável.
- Clique com o botão direito do mouse na Confiança de Partição Confiável configurada anteriormente para o OCI chamada
OCI IAMno tutorial SSO entre OCI e ADFS. - Escolha Editar Política de Emissão de Reivindicação.
- Edite a reivindicação de E-mail para adicionar três regras de reivindicação adicionais para Nome, Sobrenome e Grupo.
Atributo de nome:
- Atributo LDAP:
Given-Name - Tipo de Reivindicação de Saída:
Given Name
Atributo de Último Nome:
- Atributo LDAP:
Surname - Tipo de pedido de indenização de saída:
Surname
Atributo de grupo:
- Atributo LDAP:
Token-Groups - Unqualified Names - Tipo de pedido de indenização de saída:
Group
- Atributo LDAP:
- Clique em OK na página de regras e, em seguida, em OK novamente.
Você pode adicionar atributos adicionais para atender aos seus requisitos de negócios, mas você só precisa deles para este tutorial.
2. Atualizar o ADFS IdP no OCI IAM
Na Console do OCI IAM, configure o ADFS IdP para JIT.
-
Abra um browser suportado e digite o URL da Console:
- Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
- Selecione o domínio de identidades que será usado para configurar o SSO.
- Entre com seu nome de usuário e senha.
- Abra o menu de navegaçãe clique em Identidade e Segurança.
- Em Identidade, clique em Domínios.
- Selecione o domínio de identidades no qual você já configurou o ADFS como IdP na etapa 1 do tutorial "SSO Entre OCI e ADFS".
- Clique em Segurança no menu à esquerda e, em seguida, em Provedores de identidade.
- Clique no ADFS IdP.
- Na página ADFS IdP, clique em Configurar JIT.
- Na página de provisionamento JIT (Configure Just-in-time):
- Selecione Ativar provisionamento JIT (Just-In Time).
- Selecione Criar um novo usuário do domínio de identidades.
- Selecione Atualizar o usuário do domínio de identidades existente.
- Em Mapear atributos do usuário:
- Deixe a primeira linha para
NameIDinalterada. - Para outros atributos, em IdP user attribute, selecione
Attribute. - Forneça o nome do atributo do usuário IdP da seguinte forma:
- familyName:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname - primaryEmailAddress:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- familyName:
- Clique em Adicionar Linha:
- Em IdP user attribute, selecione
Attribute. - Para o nome do atributo de usuário IdP, digite
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
- Em IdP user attribute, selecione
- Deixe a primeira linha para
- Selecione Designar mapeamento de grupo.
- Informe o Nome do atributo de associação ao grupo. Use
http://schemas.xmlsoap.org/claims/Group. - Selecione Definir mapeamentos explícitos de associação a grupo.
- Em IdP, o nome do grupo é mapeado para o nome do grupo de domínio de identidades, faça o seguinte:
- Em IdP Nome do grupo, forneça o nome do grupo no ADFS que estará presente na asserção SAML enviada pelo ADFS.
- Em Nome do grupo de domínios de identidade, no OCI IAM, selecione o grupo no OCI IAM a ser mapeado para o grupo correspondente no ADFS.
- Em Regras de atribuição, selecione o seguinte:
- Ao atribuir associações a grupos: Mesclar com associações a grupos existentes
- Quando um grupo não é encontrado: Ignorar o grupo ausente
Observação
Selecione opções com base nos requisitos da sua organização. - Clique em Salvar alterações.
3. Testar o Provisionamento JIT entre ADFS e OCI
Nesta seção, você pode testar se o provisionamento JIT funciona entre o ADFS e o OCI IAM
- No ADFS, crie um usuário no ADFS que não exista no OCI IAM.
- Reinicie seu browser e informe o URL da Console para acessar a Console do OCI:
cloud.oracle.com - Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
- Selecione o domínio de identidades no qual a configuração JIT foi ativada.
- Nas opções de acesso, clique em ADFS.
- Na página de login do ADFS, forneça as credenciais do usuário recém-criado.
- Na autenticação bem-sucedida, uma conta é criada para o usuário no OCI IAM e o usuário acessa a Console do OCI.
Você pode exibir o novo usuário no domínio do OCI e verificar se ele tem os mesmos atributos de identidade e associações de grupo informados.
O Que Vem a Seguir
Parabéns! Você configurou com sucesso o provisionamento JIT entre o ADFS e o OCI IAM.
Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: