Provisionamento JIT do ADFS para o OCI IAM
Neste tutorial, você configura o Provisionamento Just-In-Time (JIT) entre o OCI e o Microsoft ADFS, em que o ADFS atua como o IdP.
Você pode configurar o provisionamento JIT para que as identidades possam ser criadas no sistema de destino durante o runtime, como e quando eles fazem uma solicitação para acessar o sistema de destino.
Este tutorial abrange as seguintes etapas:
- Atualize as configurações da Parte Confiável no ADFS.
- Atualizar o ADFS IdP no OCI IAM para JIT.
- Teste se você pode provisionar usuários do ADFS para o OCI IAM.
Observação
Este tutorial é específico do serviço IAM com Domínios de Identidades.
Este tutorial é específico do serviço IAM com Domínios de Identidades.
Antes de Começar
Para executar este tutorial, você deve ter o seguinte:
- Uma conta do Oracle Cloud Infrastructure (OCI) paga ou uma conta de avaliação do OCI. Consulte Oracle Cloud Infrastructure Free Tier.
- Atribuição de administrador de domínio de identidades para o domínio de identidades do OCI IAM. Consulte Noções Básicas sobre Atribuições de Administrador.
- Uma instalação do ADFS. Observação
Este tutorial descreve o uso do software ADFS fornecido com o Microsoft Windows Server 2016 R2. - Além disso, você deve verificar se:
- O mesmo usuário existe no OCI e no ADFS.
- O ADFS está funcionando.
1. Atualizar as Configurações da Parte Confiável no ADFS
- Abra o utilitário de gerenciamento do ADFS. Por exemplo, no utilitário Windows 2016 Server Manager, selecione Ferramentas e, em seguida, selecione Microsoft Active Directory Federation Services Management.
- Em ADFS, selecione Confiança da Parte Confiável.
- Clique com o botão direito do mouse no Relying Partying Trust configurado anteriormente para o OCI chamado
OCI IAMno tutorial SSO Entre o OCI e o ADFS. - Escolha Editar Política de Emissão de Reivindicação.
- Edite a reivindicação de E-mail para adicionar três regras de reivindicação adicionais para Nome, Sobrenome e Grupo.
Atributo de nome:
- Atributo LDAP:
Given-Name - Tipo de Reivindicação de Saída:
Given Name
Atributo de Último Nome:
- Atributo LDAP:
Surname - Tipo de pedido de indenização de saída:
Surname
Atributo de grupo:
- Atributo LDAP:
Token-Groups - Unqualified Names - Tipo de pedido de indenização de saída:
Group
- Atributo LDAP:
- Selecione OK na página de regras e OK novamente.
Você pode adicionar atributos adicionais para atender aos seus requisitos de negócios, mas você só precisa deles para este tutorial.
2. Atualizar o ADFS IdP no OCI IAM
Na Console do OCI IAM, configure o ADFS IdP para JIT.
-
Abra um browser suportado e digite o URL da Console:
- Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e selecione Próximo.
- Selecione o domínio de identidades que será usado para configurar o SSO.
- Entre com seu nome de usuário e senha.
- Abra o menu de navegação e selecione Identidade e Segurança.
- Em Identidade, selecione Domínios.
- Selecione o domínio de identidades no qual você já configurou o ADFS como IdP na etapa 1 do tutorial "SSO Entre o OCI e o ADFS".
- Selecione Segurança no menu à esquerda e, em seguida, Provedores de identidades.
- Selecione o ADFS IdP.
- Na página IdP do ADFS, selecione Configurar JIT.
- Na página de provisionamento JIT (Configure Just-in-time):
- Selecione Ativar provisionamento JIT (Just-In Time).
- Selecione Criar um novo usuário do domínio de identidades.
- Selecione Atualizar o usuário do domínio de identidades existente.
- Em Mapear atributos do usuário:
- Deixe a primeira linha para
NameIDinalterada. - Para outros atributos, em IdP user attribute, selecione
Attribute. - Forneça o nome do atributo do usuário IdP da seguinte forma:
- familyName:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname - primaryEmailAddress:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- familyName:
- Selecione Adicionar Linha:
- Em IdP user attribute, selecione
Attribute. - Para o nome do atributo de usuário IdP, digite
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
- Em IdP user attribute, selecione
- Deixe a primeira linha para
- Selecione Designar mapeamento de grupo.
- Informe o Nome do atributo de associação ao grupo. Use
http://schemas.xmlsoap.org/claims/Group. - Selecione Definir mapeamentos explícitos de associação a grupo.
- Em IdP, o nome do grupo é mapeado para o nome do grupo de domínio de identidades, faça o seguinte:
- Em IdP Nome do grupo, forneça o nome do grupo no ADFS que estará presente na asserção SAML enviada pelo ADFS.
- Em Nome do grupo do domínio de identidades, no OCI IAM, selecione o grupo no OCI IAM a ser mapeado para o grupo correspondente no ADFS.
- Em Regras de atribuição, selecione o seguinte:
- Ao atribuir associações a grupos: Mesclar com associações a grupos existentes
- Quando um grupo não é encontrado: Ignorar o grupo ausente
Observação
Selecione opções com base nos requisitos da sua organização. - Selecione Salvar alterações.
3. Testar o Provisionamento JIT entre ADFS e OCI
Nesta seção, você pode testar se o provisionamento JIT funciona entre o ADFS e o OCI IAM
- No ADFS, crie um usuário no ADFS que não exista no OCI IAM.
- Reinicie o browser e informe o URL da Console para acessar a Console do OCI:
cloud.oracle.com - Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e selecione Próximo.
- Selecione o domínio de identidades no qual a configuração JIT foi ativada.
- Nas opções de acesso, selecione ADFS.
- Na página de login do ADFS, forneça as credenciais do usuário recém-criado.
- Na autenticação bem-sucedida, uma conta é criada para o usuário no OCI IAM e o usuário é conectado à Console do OCI.
Você pode exibir o novo usuário no domínio do OCI e verificar se ele tem os mesmos atributos de identidade e associações de grupo informados.
O Que Vem a Seguir
Parabéns! Você configurou com sucesso o provisionamento JIT entre o ADFS e o OCI IAM.
Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: