Documentação do Oracle Cloud Infrastructure

Provisionamento JIT do ID do Entra para o OCI IAM

Neste tutorial, você configura o Provisionamento Just-In-Time (JIT) entre a Console do OCI e o ID de Entra, usando o ID de Entra como IdP.

Você pode configurar o provisionamento JIT para que as identidades possam ser criadas no sistema de destino durante o runtime, como e quando eles fazem uma solicitação para acessar o sistema de destino.

Este tutorial abrange as seguintes etapas:

  1. Configure o ID de Entra IdP no OCI IAM para JIT.
  2. Atualize a configuração do aplicativo OCI IAM no ID Entra.
  3. Teste se você pode provisionar do ID Entra para o OCI IAM.
Observação

Este tutorial é específico do serviço IAM com Domínios de Identidades.
Antes de Começar

Para executar este tutorial, você deve ter o seguinte:

Além disso, você deve ter concluído o tutorial SSO Entre o OCI e o Microsoft Entra ID e coletado o ID do objeto dos grupos que você usará para o Provisionamento JIT.

1. Configurar Atributos SAML Enviados por ID Inteiro

Para que o Provisionamento JIT funcione, os atributos SAML apropriados e obrigatórios devem ser configurados, que serão enviados na Asserção SAML para o OCI IAM por ID de Entra.

  1. No browser, acesse o ID do Microsoft Entra usando o URL:
    https://entra.microsoft.com
  2. Navegue até Aplicativos Empresariais.
  3. Clique no aplicativo Oracle Cloud Infrastructure Console.
    Observação

    Este é o aplicativo que você criou como parte do SSO Entre o OCI e o Microsoft Entra ID.
  4. No menu esquerdo, clique em Sign-on Único.
  5. Na seção Atributos e Solicitações, clique em Editar.
  6. Verifique se os atributos estão configurados corretamente:
    • NameID
    • Email Address
    • First Name
    • Last Name

    Se você precisar de novas reivindicações, adicione-as.

  7. Anote todos os nomes de reivindicação configurados. Para

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    é o nome da reivindicação para First Name.

    Atributos e reivindicações

  8. Navegue até Grupos. Você verá todos os grupos disponíveis em Entra ID.
  9. Anote os IDs de Objeto dos grupos que desejam fazer parte do SAML a ser enviado ao OCI IAM.

    Detalhes do grupo no ID de Entra

Configurações Adicionais de ID de Entrada

Em Entra ID, você pode filtrar grupos com base no nome do grupo ou no atributo sAMAccountName.

Por exemplo, suponha que apenas o grupo Administrators precise ser enviado por meio do SAML:

  1. Clique na reivindicação de grupo.
  2. Em Reivindicações de Grupo, expanda Opções avançadas.
  3. Selecione Grupos de Filtros.
    • Para Atributo a ser correspondido, selecione Display Name.
    • Para Corresponder com, selecione contains.
    • Para String, forneça o nome do grupo, por exemplo, Administrators.

    Filtro para grupos

Usando essa opção, mesmo que o usuário no grupo de administradores faça parte de outros grupos, o Entra ID só enviará o grupo Administradores no SAML.
Observação

Isso ajuda as organizações a enviar apenas os grupos necessários para o OCI IAM do ID Inteiro.
2. Configurar Atributos JIT no OCI IAM

No OCI IAM, atualize o ID de Entra IdP para JIT.

  1. Abra um browser suportado e digite o URL da Console:

    https://cloud.oracle.com

  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
  3. Selecione o domínio de identidades que será usado para configurar o SSO.
  4. Entre com seu nome de usuário e senha.
  5. Abra o menu de navegaçãe clique em Identidade e Segurança.
  6. Em Identidade, clique em Domínios.
  7. Selecione o domínio de identidades no qual você já configurou o ID do Entra como IdP.
  8. Clique em Segurança no menu à esquerda e, em seguida, em Provedores de identidade.
  9. Clique no ID de Entra IdP.
    Observação

    Este é o ID de Entra IdP que você criou como parte do SSO Entre o OCI e o ID de Entra da Microsoft.
  10. Na página ID de Entra IdP, clique em Configurar JIT.

    Página de configuração do provedor de identidades Entra ID no IAM

  11. Na página de provisionamento JIT (Configure Just-in-time):
    • Selecione Provisionamento JIT (Just-In Time).
    • Selecione Criar um novo usuário do domínio de identidades.
    • Selecione Atualizar o usuário do domínio de identidades existente.

    ativar provisionamento just in time

  12. Em Mapear atributos do Usuário:
    1. Deixe a primeira linha para NameID inalterada.
    2. Para outros atributos, em IdP user attribute, selecione Attribute.
    3. Forneça o nome do atributo do usuário IdP da seguinte forma
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Clique em Adicionar Linha e digite: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

      Para o atributo de usuário do domínio de identidades, escolha First name.

      Observação

      O nome para exibição totalmente qualificado (FQDN) é de 1. Configurar Atributos SAML Enviados por ID de Entra.

    Este diagrama mostra como devem ser os atributos do usuário no OCI IAM (à direita) e o mapeamento de atributos do usuário entre o ID Entra e o OCI IAM.

    Mapeamento de atributos de usuário entre o Entra ID e o OCI IAM

  13. Selecione Designar mapeamento de grupo.
  14. Informe o Nome do atributo de associação do grupo: http://schemas.microsoft.com/ws/2008/06/identity/claims/groups.
  15. Selecione Definir mapeamentos explícitos de associação a grupo.
  16. Em IdP Nome do grupo, forneça o ID do Objeto do grupo no ID de Entra da etapa anterior.
  17. Em Nome do grupo de domínios de identidades e selecione o grupo no OCI IAM para o qual mapear o grupo ID de Entra.

    Designar mapeamentos de grupo

    Este diagrama mostra como devem ser os atributos de grupo no OCI IAM (à direita) e o mapeamento de atributos de grupo entre o ID Entra e o OCI IAM.

    Mapeamento de atributos de grupo entre Entra ID e OCI IAM

  18. Em Regras de atribuição, selecione o seguinte:
    1. Ao atribuir associações a grupos: Mesclar com associações a grupos existentes
    2. Quando um grupo não for encontrado: Ignore o grupo ausente

    definindo regras de atribuição

    Observação

    Selecione opções com base nos requisitos da sua organização.
  19. Clique em Salvar alterações.
3. Testar o Provisionamento JIT entre o Entra ID e o OCI
Nesta seção, você pode testar se o provisionamento do JIT funciona entre o ID Entra e o OCI IAM.
  1. Na console Entra ID, crie um novo usuário com um ID de e-mail que não esteja presente no OCI IAM.

  2. Designe o usuário aos grupos necessários.

    designar usuários a grupos

  3. No browser, abra a Console do OCI.
  4. Selecione o domínio de identidades no qual a configuração JIT foi ativada.
  5. Clique em Próximo.
  6. Nas opções de sign-on, clique em ID da Entrada.
  7. Na página de login da Microsoft, insira o ID de usuário recém-criado.

    Página de log-in da Microsoft

  8. Na autenticação bem-sucedida da Microsoft:
    • A conta de usuário é criada no OCI IAM.
    • O usuário está conectado à Console do OCI.

    Meu Perfil no OCI IAM para usuário

  9. Selecione o menu Perfil (Ícone do menu Perfil), que está no lado superior direito da barra de navegação na parte superior da página, e clique em Meu perfil. Verifique as propriedades do usuário, como id do e-mail, nome, sobrenome e grupos associados.

    Verificar propriedades do usuário no OCI IAM

O Que Vem a Seguir

Parabéns! Você configurou com sucesso o provisionamento JIT entre o ID Entra e o OCI IAM.

Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: