SSO Entre OCI e ADFS
Neste tutorial, configure o SSO entre o OCI IAM e o ADFS, usando o ADFS como provedor de identidades (IdP).
Este tutorial de 30 minutos mostra como integrar o OCI IAM, atuando como provedor de serviços (SP), com o ADFS, atuando como IdP. Ao configurar a federação entre o ADFS e o OCI IAM, você permite que os usuários acessem serviços e aplicativos no OCI usando credenciais de usuário autenticadas pelo ADFS.
Este tutorial abrange a configuração do ADFS como IdP para o OCI IAM.
O OCI IAM fornece integração com o SAML 2.0 IdPs. Esta integração:
- Funciona com soluções de Sign-On Único (SSO) federadas compatíveis com SAML 2.0 como um IdP, como ADFS.
- Permite que os usuários acessem o OCI usando suas credenciais ADFS.
- Permite que os usuários acessem os aplicativos finais.
- Primeiro, faça download dos metadados do domínio de identidades do OCI IAM.
- Nas próximas etapas, você cria e configura uma parte confiável no ADFS.
- No ADFS, configure o SSO com o OCI IAM usando os metadados.
- No ADFS, edite os Atributos e Reivindicações para que o nome do e-mail seja usado como identificador para usuários.
- No ADFS, adicione um usuário ao aplicativo.
- Para as próximas etapas, você retorna ao domínio de identidades para concluir a instalação e a configuração. No OCI IAM, atualize a política IdP padrão para adicionar o ADFS.
- Teste se a autenticação federada funciona entre o OCI IAM e o ADFS.
Este tutorial é específico do serviço IAM com Domínios de Identidades.
Para executar este tutorial, você deve ter o seguinte:
- Uma conta do Oracle Cloud Infrastructure (OCI) paga ou uma conta de avaliação do OCI. Consulte Oracle Cloud Infrastructure Free Tier.
- Atribuição de administrador de domínio de identidades para o domínio de identidades do OCI IAM. Consulte Noções Básicas sobre Atribuições de Administrador.
- Uma instalação ADFS local. Observação
Este tutorial descreve o uso do software ADFS fornecido com o Microsoft Windows Server 2016 R2. - Além disso, verifique se o mesmo usuário existe no OCI e no ADFS e se o ADFS está funcionando.
Verifique se existe um usuário com o mesmo endereço de e-mail em ambos os sistemas.
Para que o SSO SAML funcione entre o ADFS e o OCI IAM, deve haver um usuário com o mesmo endereço de e-mail no domínio do Microsoft Active Directory e no domínio de identidades do OCI IAM. Nesta tarefa, você confirma que esse usuário existe em ambos os sistemas.
- Abra o utilitário Usuários e computadores do Microsoft Active Directory. No Windows 2016 Server, clique em Gerenciador de Servidores, em Ferramentas e, em seguida, em Usuários e Computadores do Active Directory.
-
Na pasta Funcionários, clique duas vezes no usuário que deseja usar. Anote o endereço de e-mail do usuário.
ADFS USER(adfsuser01@gmail.com)
Nota
Se mais de um usuário no domínio do OCI IAM tiver o mesmo endereço de e-mail, o SAML SSO falhará porque é impossível determinar qual usuário deve estar conectado.
- O endereço de e-mail do usuário é usado para vincular o usuário conectado ao ADFS com a mesma entrada do usuário no OCI IAM.
- Se você não tiver um usuário ADFS para testar a conexão, poderá criar um.
- Em um browser, digite o URL da Console para acessar a Console do OCI IAM:
- Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy e clique em Próximo.
- Entre com seu nome de usuário e senha.
- Selecione o domínio que você vai usar.
- Clique em Usuários.
- No campo de pesquisa, informe o endereço de e-mail gravado no Microsoft Active Directory.
- Nos resultados da pesquisa, confirme se existe um usuário com o mesmo endereço de e-mail do usuário no Microsoft Active Directory.Observação
Se o usuário não existir no OCI IAM, clique em Adicionar e crie o usuário com o mesmo endereço de e-mail do Microsoft Active Directory.
Verifique se o ADFS está em execução e se você pode desafiar com sucesso o usuário para acessar o sistema.
- No browser, acesse o ADFS usando o URL:
em quehttps://adfs.example.com/adfs/ls/IdpInitiatedSignOnPage
adfs.example.com
é o nome do host do ADFS. - Se precisar, selecione Entrar neste site. Clique em Acessar.
- Informe as credenciais do Microsoft Active Directory para um usuário que exista no ADFS e no OCI IAM (neste exemplo,
adfsuser01
) e clique em Acessar. - Você verá a mensagem
You are signed in
.
- No browser, acesse o ADFS usando o URL:
em quehttps://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
adfs.example.com
é o nome do host do ADFS. - Salve o arquivo
FederationMetadata.xml
. Você usará esse arquivo para registrar o ADFS no OCI IAM. - Na Console do OCI, navegue até o domínio no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Clique em Segurança e em Provedores de identidades.
- Clique em Adicionar IdP e, em seguida, clique em Adicionar IdP SAML.
- Digite um nome para o SAML IdP, por exemplo,
ADFS_IdP
. Clique em Próximo. - Clique em Informar metadados IdP.
- Faça download dos metadados do Provedor de Serviços (SP) do OCI IAM clicando em Exportar metadados SAML.
- Na página Exportar metadados SAML em Metadados com certificados autoassinados, clique em Fazer Download do XML.Observação
Use metadados com certificados autoassinados quando o provedor de identidades executar verificações CRL ou OCSP em certificados emitidos por uma CA. Neste tutorial, o ADFS faz isso durante a validação do caminho do certificado. - Salve o arquivo em um local apropriado.
- Transfira o arquivo
Metadata.xml
para o Windows Server no qual o ADFS é gerenciado. Você usará esse arquivo para registrar o domínio do OCI IAM no ADFS.
- Na página Exportar metadados SAML em Metadados com certificados autoassinados, clique em Fazer Download do XML.
- Feche a página Exportar metadados SAML.
- Clique em Importar metadados IdP e, em seguida, clique em Fazer Upload. Selecione o arquivo
FederationMetadata.xml
que você salvou anteriormente no ADFS, clique em Abrir e, em seguida, clique em Próximo. - Na identidade do usuário do Mapa, defina o seguinte
- Em Formato NameID solicitado, selecione
Email address
. - Em Atributo de usuário do provedor de identidades, selecione
SAML assertion Name ID
. - Em Atributo de usuário do domínio de identidades, selecione
Primary email address
.
- Em Formato NameID solicitado, selecione
- Clique em Próximo.
- Em Review and Create, verifique as configurações e clique em Create IdP.
- Clique em Ativar.
- Clique em Adicionar à Regra de Política IdP. A adição do ADFS IdP a uma Política IdP permite que ele seja exibido na tela de acesso do OCI IAM.
-
Clique em Política do Provedor de Identidades Padrão para abri-la e, em seguida, clique no menu da regra e clique em Editar regra IdP.
-
Clique em Designar provedores de identidades e, em seguida, clique em ADFS_IdP para adicioná-lo à lista.
- Clique em Salvar Alterações.
Agora, o ADFS é registrado como provedor de identidades no OCI IAM.
Em seguida, você registra o OCI IAM como parte confiável no ADFS.
Primeiro, registre o OCI IAM como a parte confiável no ADFS. Em seguida, configure regras de reivindicação para o OCI IAM como parte confiável.
Registrar a Parte Confiável
- Abra o utilitário de gerenciamento ADFS. Por exemplo, no utilitário do Windows 2016 Server Manager, clique em Ferramentas e, em seguida, clique em Microsoft Active Directory Federation Services Management.
- Clique em Ação e, em seguida, clique em Adicionar Confiança da Parte Confiável.
-
Na janela Assistente de Adição de Truste de Parte Confiável, clique em Iniciar.
-
Selecione Importar dados sobre a parte confiável de um arquivo e clique em Procurar.
- Selecione
Metadata.xml
que você baixou anteriormente no OCI IAM e clique em Próximo. -
Informe um nome para exibição, por exemplo,
OCI IAM
e, opcionalmente, informe uma descrição em Observações. Clique em Próximo. -
Continue com as opções padrão até chegar à etapa Finalizar e clique em Fechar. A janela Editar Regras de Reivindicação é aberta.
Configurar Regras de Reivindicação
As regras de reivindicação definem as informações sobre um usuário conectado enviado do ADFS para o OCI IAM após a autenticação bem-sucedida. Aqui, você define duas regras de reivindicação para que o OCI IAM atue como parte confiável:
- E-mail: Esta regra indica que o endereço de e-mail do usuário é enviado ao OCI IAM na asserção SAML.
- ID do Nome: Esta regra indica que o resultado da regra de E-mail é enviado ao OCI IAM no elemento Assunto
NameID
da asserção SAML.
- Na janela Editar Regras de Solicitação, clique em Adicionar Regra.
- Selecione Transformar uma Solicitação de Entrada como modelo de regra de reivindicação e clique em Próximo
- Na página Escolher Tipo de Regra, forneça as seguintes informações para a regra de E-mail:
- Nome da regra de reivindicação:
Email
- Armazenamento de atributos:
Active Directory
- Mapeamento de atributos LDAP para tipos de reivindicação de saída:
- Atributo LDAP:
E-Mail-Addresses
- Tipo de Reivindicação de Saída:
E-Mail Address
- Atributo LDAP:
- Nome da regra de reivindicação:
- Clique em Concluir.
- Na janela Editar Regras de Demanda, clique em Adicionar Regra para adicionar a segunda regra de reivindicação.
- Selecione Enviar Atributos LDAP como Reivindicações como modelo de regra de reivindicação e clique em Próximo.
- Na página Escolher Tipo de Regra, forneça as seguintes informações para a regra ID do Nome:
- Nome da regra de reivindicação:
Name ID
- Tipo de reivindicação de entrada:
E-Mail Address
- Tipo de reivindicação de saída:
Name ID
- Formato de ID do nome de saída:
Email
- Nome da regra de reivindicação:
- Clique em Concluir.
- Na janela Editar Regras de Reivindicação do Oracle Cloud, verifique se as regras de E-mail e ID do Nome foram criadas.
Agora, o ADFS e o OCI IAM têm informações suficientes para estabelecer SSO e você pode testar a integração.
Nesta tarefa, você testa a autenticação entre o OCI IAM e o ADFS. Se a autenticação for bem-sucedida, ative o provedor de identidades para usuários finais.
- Reinicie seu browser e digite o URL da Console para acessar a Console do OCI IAM:
- Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
- Entre com seu nome de usuário e senha.
- Selecione o domínio para o qual você configurou o ADFS IdP.
- Clique em Segurança e em Provedores de Identidade.
- Clique na entrada ADFS IdP.
- Na página de detalhes de IdP, clique em Mais ações e, em seguida, clique em Testar log-in.
- Role até a parte inferior e clique em Testar Log-in.
- Na página de acesso do ADFS, acesse com um usuário existente no ADFS e no OCI IAM.
- Você verá a mensagem de confirmação Sua conexão foi bem-sucedida.
Parabéns! Você configurou com sucesso o SSO entre o ADFS e o OCI IAM.
Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: