Documentação do Oracle Cloud Infrastructure

SSO Entre OCI e ADFS

Neste tutorial, configure o SSO entre o OCI IAM e o ADFS, usando o ADFS como provedor de identidades (IdP).

Este tutorial de 30 minutos mostra como integrar o OCI IAM, atuando como provedor de serviços (SP), com o ADFS, atuando como IdP. Ao configurar a federação entre o ADFS e o OCI IAM, você permite que os usuários acessem serviços e aplicativos no OCI usando credenciais de usuário autenticadas pelo ADFS.

Este tutorial abrange a configuração do ADFS como IdP para o OCI IAM.

O OCI IAM fornece integração com o SAML 2.0 IdPs. Esta integração:

  • Funciona com soluções de Sign-On Único (SSO) federadas compatíveis com SAML 2.0 como um IdP, como ADFS.
  • Permite que os usuários acessem o OCI usando suas credenciais ADFS.
  • Permite que os usuários acessem os aplicativos finais.
  1. Primeiro, faça download dos metadados do domínio de identidades do OCI IAM.
  2. Nas próximas etapas, você cria e configura uma parte confiável no ADFS.
  3. No ADFS, configure o SSO com o OCI IAM usando os metadados.
  4. No ADFS, edite os Atributos e Reivindicações para que o nome do e-mail seja usado como identificador para usuários.
  5. No ADFS, adicione um usuário ao aplicativo.
  6. Para as próximas etapas, você retorna ao domínio de identidades para concluir a instalação e a configuração. No OCI IAM, atualize a política IdP padrão para adicionar o ADFS.
  7. Teste se a autenticação federada funciona entre o OCI IAM e o ADFS.
Observação

Este tutorial é específico do serviço IAM com Domínios de Identidades.
Antes de Começar

Para executar este tutorial, você deve ter o seguinte:

  • Uma conta do Oracle Cloud Infrastructure (OCI) paga ou uma conta de avaliação do OCI. Consulte Oracle Cloud Infrastructure Free Tier.
  • Atribuição de administrador de domínio de identidades para o domínio de identidades do OCI IAM. Consulte Noções Básicas sobre Atribuições de Administrador.
  • Uma instalação ADFS local.
    Observação

    Este tutorial descreve o uso do software ADFS fornecido com o Microsoft Windows Server 2016 R2.
  • Além disso, verifique se o mesmo usuário existe no OCI e no ADFS e se o ADFS está funcionando.
Criar o mesmo usuário em ambos os sistemas

Verifique se existe um usuário com o mesmo endereço de e-mail em ambos os sistemas.

Para que o SSO SAML funcione entre o ADFS e o OCI IAM, deve haver um usuário com o mesmo endereço de e-mail no domínio do Microsoft Active Directory e no domínio de identidades do OCI IAM. Nesta tarefa, você confirma que esse usuário existe em ambos os sistemas.

  1. Abra o utilitário Usuários e computadores do Microsoft Active Directory. No Windows 2016 Server, clique em Gerenciador de Servidores, em Ferramentas e, em seguida, em Usuários e Computadores do Active Directory.
  2. Na pasta Funcionários, clique duas vezes no usuário que deseja usar. Anote o endereço de e-mail do usuário.
    ADFS USER(adfsuser01@gmail.com)

    Usuário no utilitário Usuários e Computadores do Active Directory

    Nota

    Se mais de um usuário no domínio do OCI IAM tiver o mesmo endereço de e-mail, o SAML SSO falhará porque é impossível determinar qual usuário deve estar conectado.

    • O endereço de e-mail do usuário é usado para vincular o usuário conectado ao ADFS com a mesma entrada do usuário no OCI IAM.
    • Se você não tiver um usuário ADFS para testar a conexão, poderá criar um.
  3. Em um browser, digite o URL da Console para acessar a Console do OCI IAM:

    https://cloud.oracle.com

  4. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy e clique em Próximo.
  5. Entre com seu nome de usuário e senha.
  6. Selecione o domínio que você vai usar.
  7. Clique em Usuários.
  8. No campo de pesquisa, informe o endereço de e-mail gravado no Microsoft Active Directory.
  9. Nos resultados da pesquisa, confirme se existe um usuário com o mesmo endereço de e-mail do usuário no Microsoft Active Directory.
    Observação

    Se o usuário não existir no OCI IAM, clique em Adicionar e crie o usuário com o mesmo endereço de e-mail do Microsoft Active Directory.
Verificar se ADFS está em Execução

Verifique se o ADFS está em execução e se você pode desafiar com sucesso o usuário para acessar o sistema.

  1. No browser, acesse o ADFS usando o URL: 
    https://adfs.example.com/adfs/ls/IdpInitiatedSignOnPage
    em que adfs.example.com é o nome do host do ADFS.
  2. Se precisar, selecione Entrar neste site. Clique em Acessar.
  3. Informe as credenciais do Microsoft Active Directory para um usuário que exista no ADFS e no OCI IAM (neste exemplo, adfsuser01) e clique em Acessar.

    página de acesso ADFS

  4. Você verá a mensagem You are signed in.

    Confirmação ADFS de que você está conectado

1. Criar ADFS como IdP no OCI IAM
  1. No browser, acesse o ADFS usando o URL: 
    https://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
    em que adfs.example.com é o nome do host do ADFS.
  2. Salve o arquivo FederationMetadata.xml. Você usará esse arquivo para registrar o ADFS no OCI IAM.
  3. Na Console do OCI, navegue até o domínio no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Clique em Segurança e em Provedores de identidades.
  4. Clique em Adicionar IdP e, em seguida, clique em Adicionar IdP SAML.
  5. Digite um nome para o SAML IdP, por exemplo, ADFS_IdP. Clique em Próximo.
  6. Clique em Informar metadados IdP.
  7. Faça download dos metadados do Provedor de Serviços (SP) do OCI IAM clicando em Exportar metadados SAML.
    1. Na página Exportar metadados SAML em Metadados com certificados autoassinados, clique em Fazer Download do XML.
      Observação

      Use metadados com certificados autoassinados quando o provedor de identidades executar verificações CRL ou OCSP em certificados emitidos por uma CA. Neste tutorial, o ADFS faz isso durante a validação do caminho do certificado.
    2. Salve o arquivo em um local apropriado.
    3. Transfira o arquivo Metadata.xml para o Windows Server no qual o ADFS é gerenciado. Você usará esse arquivo para registrar o domínio do OCI IAM no ADFS.

    Exportar metadados SAML para o OCI IAM

  8. Feche a página Exportar metadados SAML.
  9. Clique em Importar metadados IdP e, em seguida, clique em Fazer Upload. Selecione o arquivo FederationMetadata.xml que você salvou anteriormente no ADFS, clique em Abrir e, em seguida, clique em Próximo.
  10. Na identidade do usuário do Mapa, defina o seguinte
    • Em Formato NameID solicitado, selecione Email address.
    • Em Atributo de usuário do provedor de identidades, selecione SAML assertion Name ID.
    • Em Atributo de usuário do domínio de identidades, selecione Primary email address.

    Atributos do provedor de identidades SAML

  11. Clique em Próximo.
  12. Em Review and Create, verifique as configurações e clique em Create IdP.
  13. Clique em Ativar.
  14. Clique em Adicionar à Regra de Política IdP. A adição do ADFS IdP a uma Política IdP permite que ele seja exibido na tela de acesso do OCI IAM.

  15. Clique em Política do Provedor de Identidades Padrão para abri-la e, em seguida, clique no menu Ações (Menu Ações) da regra e clique em Editar regra IdP.

    O menu de contexto mostrando "Editar Regra de IdP"

  16. Clique em Designar provedores de identidades e, em seguida, clique em ADFS_IdP para adicioná-lo à lista.

    adicionando o ADFS como um provedor de identidades na regra IdP padrão

  17. Clique em Salvar Alterações.

Agora, o ADFS é registrado como provedor de identidades no OCI IAM.

Em seguida, você registra o OCI IAM como parte confiável no ADFS.

2. Registrar o OCI IAM como uma Parte Confiável

Primeiro, registre o OCI IAM como a parte confiável no ADFS. Em seguida, configure regras de reivindicação para o OCI IAM como parte confiável.

Registrar a Parte Confiável

  1. Abra o utilitário de gerenciamento ADFS. Por exemplo, no utilitário do Windows 2016 Server Manager, clique em Ferramentas e, em seguida, clique em Microsoft Active Directory Federation Services Management.
  2. Clique em Ação e, em seguida, clique em Adicionar Confiança da Parte Confiável.

  3. Na janela Assistente de Adição de Truste de Parte Confiável, clique em Iniciar.

    Adicionar assistente de confiança da parte confiável no ADFS

  4. Selecione Importar dados sobre a parte confiável de um arquivo e clique em Procurar.

    Selecionar origem de dados

  5. Selecione Metadata.xml que você baixou anteriormente no OCI IAM e clique em Próximo.

  6. Informe um nome para exibição, por exemplo, OCI IAM e, opcionalmente, informe uma descrição em Observações. Clique em Próximo.

    Definindo o nome para exibição

  7. Continue com as opções padrão até chegar à etapa Finalizar e clique em Fechar. A janela Editar Regras de Reivindicação é aberta.

    Janela Editar reivindicações

Configurar Regras de Reivindicação

As regras de reivindicação definem as informações sobre um usuário conectado enviado do ADFS para o OCI IAM após a autenticação bem-sucedida. Aqui, você define duas regras de reivindicação para que o OCI IAM atue como parte confiável:

  • E-mail: Esta regra indica que o endereço de e-mail do usuário é enviado ao OCI IAM na asserção SAML.
  • ID do Nome: Esta regra indica que o resultado da regra de E-mail é enviado ao OCI IAM no elemento Assunto NameID da asserção SAML.
  1. Na janela Editar Regras de Solicitação, clique em Adicionar Regra.
  2. Selecione Transformar uma Solicitação de Entrada como modelo de regra de reivindicação e clique em Próximo
  3. Na página Escolher Tipo de Regra, forneça as seguintes informações para a regra de E-mail:
    • Nome da regra de reivindicação: Email
    • Armazenamento de atributos: Active Directory
    • Mapeamento de atributos LDAP para tipos de reivindicação de saída:
      • Atributo LDAP: E-Mail-Addresses
      • Tipo de Reivindicação de Saída: E-Mail Address

      Escolha a página Tipo de Regra do assistente Adicionar regra de reivindicação de transformação.

  4. Clique em Concluir.
  5. Na janela Editar Regras de Demanda, clique em Adicionar Regra para adicionar a segunda regra de reivindicação.
  6. Selecione Enviar Atributos LDAP como Reivindicações como modelo de regra de reivindicação e clique em Próximo.
  7. Na página Escolher Tipo de Regra, forneça as seguintes informações para a regra ID do Nome:
    • Nome da regra de reivindicação: Name ID
    • Tipo de reivindicação de entrada: E-Mail Address
    • Tipo de reivindicação de saída: Name ID
    • Formato de ID do nome de saída: Email

    Escolha a página Tipo de Regra do assistente Adicionar regra de reivindicação de transformação.

  8. Clique em Concluir.
  9. Na janela Editar Regras de Reivindicação do Oracle Cloud, verifique se as regras de E-mail e ID do Nome foram criadas.

    Confirme se ambas as reivindicações estão presentes

Agora, o ADFS e o OCI IAM têm informações suficientes para estabelecer SSO e você pode testar a integração.

3. Testar SSO entre ADFS e OCI

Nesta tarefa, você testa a autenticação entre o OCI IAM e o ADFS. Se a autenticação for bem-sucedida, ative o provedor de identidades para usuários finais.

  1. Reinicie seu browser e digite o URL da Console para acessar a Console do OCI IAM:

    https://cloud.oracle.com

  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
  3. Entre com seu nome de usuário e senha.
  4. Selecione o domínio para o qual você configurou o ADFS IdP.
  5. Clique em Segurança e em Provedores de Identidade.
  6. Clique na entrada ADFS IdP.
  7. Na página de detalhes de IdP, clique em Mais ações e, em seguida, clique em Testar log-in.
  8. Role até a parte inferior e clique em Testar Log-in.
  9. Na página de acesso do ADFS, acesse com um usuário existente no ADFS e no OCI IAM.

    página de acesso ADFS

  10. Você verá a mensagem de confirmação Sua conexão foi bem-sucedida.

    Mensagem de confirmação

O Que Vem a Seguir

Parabéns! Você configurou com sucesso o SSO entre o ADFS e o OCI IAM.

Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: