Documentação do Oracle Cloud Infrastructure

SSO Entre OCI e ADFS

Neste tutorial, configure o SSO entre o OCI IAM e o ADFS, usando o ADFS como provedor de identidades (IdP).

Este tutorial de 30 minutos mostra como integrar o OCI IAM, atuando como provedor de serviços (SP), com o ADFS, atuando como IdP. Ao configurar a federação entre o ADFS e o OCI IAM, você permite que os usuários acessem serviços e aplicativos no OCI usando credenciais de usuário autenticadas pelo ADFS.

Este tutorial abrange a configuração do ADFS como IdP para o OCI IAM.

O OCI IAM fornece integração com SAML 2.0 IdPs. Esta integração:

  • Funciona com soluções de Sign-On Único (SSO) federadas compatíveis com SAML 2.0 como um IdP, como ADFS.
  • Permite que os usuários acessem o OCI usando suas credenciais ADFS.
  • Permite que os usuários acessem os aplicativos finais.
  1. Primeiro, faça download dos metadados do domínio de identidades do OCI IAM.
  2. Nas próximas etapas, você cria e configura uma parte confiável no ADFS.
  3. No ADFS, configure o SSO com o OCI IAM usando os metadados.
  4. No ADFS, edite os Atributos e Reivindicações para que o nome do e-mail seja usado como identificador para usuários.
  5. No ADFS, adicione um usuário ao aplicativo.
  6. Para as próximas etapas, você retorna ao domínio de identidades para concluir a instalação e a configuração. No OCI IAM, atualize a política IdP padrão para adicionar ADFS.
  7. Teste se a autenticação federada funciona entre o OCI IAM e o ADFS.
Observação

Este tutorial é específico do serviço IAM com Domínios de Identidades.
Antes de Começar

Para executar este tutorial, você deve ter o seguinte:

  • Uma conta do Oracle Cloud Infrastructure (OCI) paga ou uma conta de avaliação do OCI. Consulte Oracle Cloud Infrastructure Free Tier.
  • Atribuição de administrador de domínio de identidades para o domínio de identidades do OCI IAM. Consulte Noções Básicas sobre Atribuições de Administrador.
  • Uma instalação ADFS local.
    Observação

    Este tutorial descreve o uso do software ADFS fornecido com o Microsoft Windows Server 2016 R2.
  • Além disso, você deve verificar se o mesmo usuário existe no OCI e no ADFS e se o ADFS está funcionando.
Criar o mesmo usuário em ambos os sistemas

Verifique se existe um usuário com o mesmo endereço de e-mail em ambos os sistemas.

Para que o SSO SAML funcione entre o ADFS e o OCI IAM, deve haver um usuário com o mesmo endereço de e-mail no domínio do Microsoft Active Directory e no domínio de identidades do OCI IAM. Nesta tarefa, você confirma que tal usuário existe em ambos os sistemas.

  1. Abra o utilitário Usuários e Computadores do Microsoft Active Directory. No Servidor Windows 2016, selecione Gerenciador de Servidores, Ferramentas e Usuários e Computadores do Active Directory.
  2. Na pasta Funcionários, clique duas vezes no usuário que deseja usar. Anote o endereço de e-mail do usuário.
    ADFS USER(adfsuser01@gmail.com)

    Usuário no utilitário Usuários e Computadores do Active Directory

    Nota

    Se mais de um usuário no domínio do OCI IAM tiver o mesmo endereço de e-mail, o SAML SSO falhará porque é impossível determinar qual usuário deve se conectar.

    • O endereço de e-mail do usuário é usado para vincular o usuário conectado ao ADFS com a mesma entrada do usuário no OCI IAM.
    • Se você não tiver um usuário ADFS para testar a conexão, poderá criar um.
  3. Em um browser, informe o URL da Console para acessar a Console do OCI IAM:

    https://cloud.oracle.com

  4. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e selecione Próximo.
  5. Entre com seu nome de usuário e senha.
  6. Selecione o domínio que você vai usar.
  7. Selecionar Usuários.
  8. No campo de pesquisa, informe o endereço de e-mail gravado no Microsoft Active Directory.
  9. Nos resultados da pesquisa, confirme se existe um usuário com o mesmo endereço de e-mail do usuário no Microsoft Active Directory.
    Observação

    Se o usuário não existir no OCI IAM, selecione Adicionar e crie o usuário com o mesmo endereço de e-mail do Microsoft Active Directory.
Verificar se ADFS está em Execução

Verifique se o ADFS está em execução e se você pode desafiar com sucesso o usuário para acessar o sistema.

  1. No browser, acesse o ADFS usando o URL: 
    https://adfs.example.com/adfs/ls/IdpInitiatedSignOnPage
    em que adfs.example.com é o nome do host do ADFS.
  2. Se precisar, selecione Entrar neste site. Selecione Entrar.
  3. Informe as credenciais do Microsoft Active Directory para um usuário que existe no ADFS e no OCI IAM (neste exemplo, adfsuser01) e selecione Acessar.

    página de acesso ADFS

  4. Você verá a mensagem You are signed in.

    Confirmação ADFS de que você está conectado

1. Criar ADFS como IdP no OCI IAM
  1. No browser, acesse o ADFS usando o URL: 
    https://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
    em que adfs.example.com é o nome do host do ADFS.
  2. Salve o arquivo FederationMetadata.xml. Você usará esse arquivo para registrar o ADFS no OCI IAM.
  3. Na Console do OCI, navegue até o domínio no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Selecione Segurança e, em seguida, Provedores de identidades.
  4. Selecione Adicionar IdP e, em seguida, selecione Adicionar IdP SAML.
  5. Digite um nome para o SAML IdP, por exemplo, ADFS_IdP. Selecione Próximo.
  6. Selecione Digitar IdP metadados.
  7. Faça download dos metadados do Provedor de Serviços (SP) do OCI IAM selecionando Exportar metadados SAML.
    1. Na página Exportar metadados SAML em Metadados com certificados autoassinados, selecione Fazer Download de XML.
      Observação

      Use metadados com certificados autoassinados quando o provedor de identidades executar verificações CRL ou OCSP em certificados emitidos por uma CA. Neste tutorial, o ADFS faz isso durante a validação do caminho do certificado.
    2. Salve o arquivo em um local apropriado.
    3. Transfira o arquivo Metadata.xml para o Windows Server em que o ADFS é gerenciado. Você usará esse arquivo para registrar o domínio do OCI IAM no ADFS.

    Exportar metadados SAML para o OCI IAM

  8. Feche a página Exportar metadados SAML.
  9. Selecione Importar IdP metadados e, em seguida, selecione Fazer Upload. Selecione o arquivo FederationMetadata.xml que você salvou anteriormente no ADFS, selecione Abrir e, em seguida, selecione Próximo.
  10. Na identidade do usuário do Mapa, defina o seguinte
    • Em Formato NameID solicitado, selecione Email address.
    • Em Atributo de usuário do provedor de identidades, selecione SAML assertion Name ID.
    • Em Atributo de usuário do domínio de identidades, selecione Primary email address.

    Atributos do provedor de identidades SAML

  11. Selecione Próximo.
  12. Em Revisar e Criar, verifique as configurações e selecione Criar IdP.
  13. Selecione Ativar.
  14. Selecione Adicionar à Regra de Política IdP. A adição do ADFS IdP a uma Política IdP permite que ele seja exibido na tela de acesso do OCI IAM.

  15. Selecione Política do Provedor de Identidades Padrão para abri-la e, em seguida, selecione o menu Ações Menu Ações da regra e selecione Editar regra IdP.

    O menu de contexto mostrando "Editar Regra de IdP"

  16. Selecione Designar provedores de identidades e, em seguida, selecione ADFS_IdP para adicioná-lo à lista.

    adicionando o ADFS como um provedor de identidades na regra IdP padrão

  17. Selecione Salvar Alterações.

Agora, o ADFS está registrado como provedor de identidades no OCI IAM.

Em seguida, você registra o OCI IAM como uma parte confiável no ADFS.

2. Registrar o OCI IAM como uma Parte Confiável

Primeiro, registre o OCI IAM como parte confiável no ADFS. Em seguida, configure regras de reivindicação para o OCI IAM como parte confiável.

Registrar a Parte Confiável

  1. Abra o utilitário de gerenciamento do ADFS. Por exemplo, no utilitário Windows 2016 Server Manager, selecione Ferramentas e, em seguida, selecione Microsoft Active Directory Federation Services Management.
  2. Selecione Ação e, em seguida, Adicionar Confiança da Parte Confiável.

  3. Na janela Assistente de Adição de Confiança de Parte Confiável, selecione Iniciar.

    Adicionar assistente de confiança da parte confiável no ADFS

  4. Selecione Importar dados sobre a parte confiável de um arquivo e, em seguida, selecione Procurar.

    Selecionar origem de dados

  5. Selecione Metadata.xml que você fez download anteriormente do OCI IAM e selecione Próximo.

  6. Informe um nome para exibição, por exemplo, OCI IAM, e opcionalmente informe uma descrição em Observações. Selecione Próximo.

    Definindo o nome para exibição

  7. Prossiga com as opções padrão até chegar à etapa Finalizar e selecione Fechar. A janela Editar regras de demanda é aberta.

    Janela Editar reivindicações

Configurar Regras de Reivindicação

As regras de reivindicação definem as informações sobre um usuário conectado enviado do ADFS para o OCI IAM após a autenticação bem-sucedida. Aqui, você define duas regras de reivindicação para que o OCI IAM atue como parte confiável:

  • E-mail: Esta regra indica que o endereço de e-mail do usuário é enviado ao OCI IAM na asserção SAML.
  • ID do Nome: Esta regra indica que o resultado da regra de E-mail é enviado ao OCI IAM no elemento Assunto NameID da asserção SAML.
  1. Na janela Editar Regras de Solicitação, selecione Adicionar Regra.
  2. Selecione Enviar Atributos LDAP como Reivindicações como modelo de regra de reivindicação e, em seguida, selecione Próximo
  3. Na página Escolher Tipo de Regra, forneça as seguintes informações para a regra de E-mail:
    • Nome da regra de reivindicação: Email
    • Armazenamento de atributos: Active Directory
    • Mapeamento de atributos LDAP para tipos de reivindicação de saída:
      • Atributo LDAP: E-Mail-Addresses
      • Tipo de Reivindicação de Saída: E-Mail Address

      Escolha a página Tipo de Regra do assistente Adicionar regra de reivindicação de transformação.

  4. Selecione Concluir.
  5. Na janela Editar Regras de Reivindicação, selecione Adicionar Regra para adicionar a segunda regra de reivindicação.
  6. Selecione Transformar uma Reivindicação de Entrada como modelo de regra de reivindicação e, em seguida, selecione Próximo.
  7. Na página Escolher Tipo de Regra, forneça as seguintes informações para a regra ID do Nome:
    • Nome da regra de reivindicação: Name ID
    • Tipo de reivindicação de entrada: E-Mail Address
    • Tipo de reivindicação de saída: Name ID
    • Formato de ID do nome de saída: Email

    Escolha a página Tipo de Regra do assistente Adicionar regra de reivindicação de transformação.

  8. Selecione Concluir.
  9. Na janela Editar Regras de Reivindicação do Oracle Cloud, verifique se as regras de E-mail e ID do Nome foram criadas.

    Confirme se ambas as reivindicações estão presentes

Agora, o ADFS e o OCI IAM têm informações suficientes para estabelecer SSO e você pode testar a integração.

3. Testar SSO entre ADFS e OCI

Nesta tarefa, você testa a autenticação entre o OCI IAM e o ADFS. Se a autenticação for bem-sucedida, ative o provedor de identidades para usuários finais.

  1. Reinicie o browser e informe o URL da Console para acessar a Console do OCI IAM:

    https://cloud.oracle.com

  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e selecione Próximo.
  3. Entre com seu nome de usuário e senha.
  4. Selecione o domínio para o qual você configurou o ADFS IdP.
  5. Selecione Segurança e, em seguida, Provedores de Identidades.
  6. Selecione a entrada ADFS IdP.
  7. Na página de detalhes do IdP, selecione Mais ações e, em seguida, selecione Testar log-in.
  8. Role até a parte inferior e selecione Testar Log-in.
  9. Na página de acesso do ADFS, acesse com um usuário que existe no ADFS e no OCI IAM.

    página de acesso ADFS

  10. Você verá a mensagem de confirmação Sua conexão foi bem-sucedida.

    Mensagem de confirmação

O Que Vem a Seguir

Parabéns! Você configurou com sucesso o SSO entre o ADFS e o OCI IAM.

Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: