Provisionamento JIT do ID do Entra para o OCI IAM
Neste tutorial, você configura o Provisionamento Just-In-Time (JIT) entre a Console do OCI e o ID de Entra, usando o ID de Entra como IdP.
Você pode configurar o provisionamento JIT para que as identidades possam ser criadas no sistema de destino durante o runtime, como e quando eles fazem uma solicitação para acessar o sistema de destino.
Este tutorial abrange as seguintes etapas:
- Configure o ID de Entra IdP no OCI IAM para JIT.
- Atualize a configuração do aplicativo OCI IAM no ID Entra.
- Teste se você pode provisionar do ID Entra para o OCI IAM.
Este tutorial é específico do serviço IAM com Domínios de Identidades.
Para executar este tutorial, você deve ter o seguinte:
-
Uma conta do Oracle Cloud Infrastructure (OCI) paga ou uma conta de avaliação do OCI. Consulte Oracle Cloud Infrastructure Free Tier.
- Atribuição de administrador de domínio de identidades para o domínio de identidades do OCI IAM. Consulte Noções Básicas sobre Atribuições de Administrador.
- Uma conta Entra ID com uma das seguintes funções Entra ID:
- Administrador Global
- Administrador de Aplicativo em Nuvem
- Administrador de Aplicativo
Além disso, você deve ter concluído o tutorial SSO Entre o OCI e o Microsoft Entra ID e coletado o ID do objeto dos grupos que você usará para o Provisionamento JIT.
Para que o Provisionamento JIT funcione, os atributos SAML apropriados e obrigatórios devem ser configurados, que serão enviados na Asserção SAML para o OCI IAM por ID de Entra.
- No browser, acesse o ID do Microsoft Entra usando o URL:
https://entra.microsoft.com
- Navegue até Aplicativos Empresariais.
- Clique no aplicativo Oracle Cloud Infrastructure Console.
- No menu esquerdo, clique em Sign-on Único.
- Na seção Atributos e Solicitações, clique em Editar.
- Verifique se os atributos estão configurados corretamente:
NameID
Email Address
First Name
Last Name
Se você precisar de novas reivindicações, adicione-as.
- Anote todos os nomes de reivindicação configurados. Para
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
é o nome da reivindicação para
First Name
. - Navegue até Grupos. Você verá todos os grupos disponíveis em Entra ID.
- Anote os IDs de Objeto dos grupos que desejam fazer parte do SAML a ser enviado ao OCI IAM.
Configurações Adicionais de ID de Entrada
Em Entra ID, você pode filtrar grupos com base no nome do grupo ou no atributo sAMAccountName
.
Por exemplo, suponha que apenas o grupo Administrators
precise ser enviado por meio do SAML:
- Clique na reivindicação de grupo.
- Em Reivindicações de Grupo, expanda Opções avançadas.
- Selecione Grupos de Filtros.
- Para Atributo a ser correspondido, selecione
Display Name
. - Para Corresponder com, selecione
contains
. - Para String, forneça o nome do grupo, por exemplo,
Administrators
.
- Para Atributo a ser correspondido, selecione
Isso ajuda as organizações a enviar apenas os grupos necessários para o OCI IAM do ID Inteiro.
No OCI IAM, atualize o ID de Entra IdP para JIT.
-
Abra um browser suportado e digite o URL da Console:
- Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
- Selecione o domínio de identidades que será usado para configurar o SSO.
- Entre com seu nome de usuário e senha.
- Abra o menu de navegaçãe clique em Identidade e Segurança.
- Em Identidade, clique em Domínios.
- Selecione o domínio de identidades no qual você já configurou o ID do Entra como IdP.
- Clique em Segurança no menu à esquerda e, em seguida, em Provedores de identidade.
- Clique no ID de Entra IdP.Observação
Este é o ID de Entra IdP que você criou como parte do SSO Entre o OCI e o ID de Entra da Microsoft. - Na página ID de Entra IdP, clique em Configurar JIT.
- Na página de provisionamento JIT (Configure Just-in-time):
- Selecione Provisionamento JIT (Just-In Time).
- Selecione Criar um novo usuário do domínio de identidades.
- Selecione Atualizar o usuário do domínio de identidades existente.
- Em Mapear atributos do Usuário:
- Deixe a primeira linha para
NameID
inalterada. - Para outros atributos, em IdP user attribute, selecione
Attribute
. - Forneça o nome do atributo do usuário IdP da seguinte forma
- familyName:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
- primaryEmailAddress:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- familyName:
- Clique em Adicionar Linha e digite:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
.Para o atributo de usuário do domínio de identidades, escolha
First name
.Observação
O nome para exibição totalmente qualificado (FQDN) é de 1. Configurar Atributos SAML Enviados por ID de Entra.
Este diagrama mostra como devem ser os atributos do usuário no OCI IAM (à direita) e o mapeamento de atributos do usuário entre o ID Entra e o OCI IAM.
- Deixe a primeira linha para
- Selecione Designar mapeamento de grupo.
- Informe o Nome do atributo de associação do grupo:
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
. - Selecione Definir mapeamentos explícitos de associação a grupo.
- Em IdP Nome do grupo, forneça o ID do Objeto do grupo no ID de Entra da etapa anterior.
- Em Nome do grupo de domínios de identidades e selecione o grupo no OCI IAM para o qual mapear o grupo ID de Entra.
Este diagrama mostra como devem ser os atributos de grupo no OCI IAM (à direita) e o mapeamento de atributos de grupo entre o ID Entra e o OCI IAM.
- Em Regras de atribuição, selecione o seguinte:
- Ao atribuir associações a grupos: Mesclar com associações a grupos existentes
- Quando um grupo não for encontrado: Ignore o grupo ausente
Observação
Selecione opções com base nos requisitos da sua organização. - Clique em Salvar alterações.
- Na console Entra ID, crie um novo usuário com um ID de e-mail que não esteja presente no OCI IAM.
-
Designe o usuário aos grupos necessários.
- No browser, abra a Console do OCI.
- Selecione o domínio de identidades no qual a configuração JIT foi ativada.
- Clique em Próximo.
- Nas opções de sign-on, clique em ID da Entrada.
- Na página de login da Microsoft, insira o ID de usuário recém-criado.
- Na autenticação bem-sucedida da Microsoft:
- A conta de usuário é criada no OCI IAM.
- O usuário está conectado à Console do OCI.
- Selecione o menu Perfil (
), que está no lado superior direito da barra de navegação na parte superior da página, e clique em Meu perfil. Verifique as propriedades do usuário, como id do e-mail, nome, sobrenome e grupos associados.
Parabéns! Você configurou com sucesso o provisionamento JIT entre o ID Entra e o OCI IAM.
Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: