Documentação do Oracle Cloud Infrastructure

Provisionamento JIT do Entra ID para o OCI IAM

Neste tutorial, você configura o Provisionamento just-in-time (JIT) entre a Console do OCI e o Entra ID, usando o Entra ID como IdP.

Você pode configurar o provisionamento JIT para que as identidades possam ser criadas no sistema de destino durante o tempo de execução, como e quando eles fizerem uma solicitação para acessar o sistema de destino.

Este tutorial aborda as seguintes etapas:

  1. Configurar o ID do Entra IdP no OCI IAM para JIT.
  2. Atualizar a configuração do aplicativo OCI IAM no Entra ID.
  3. Teste se você pode provisionar do Entra ID para o OCI IAM.
Observação

Este tutorial é específico para o serviço IAM com Domínios de Identidade.
Antes do Início

Para executar este tutorial, você deve ter o seguinte:

Além disso, você deve ter concluído o tutorial SSO Between OCI and Microsoft Entra ID e coletado o ID do objeto dos grupos que você usará para o Provisionamento JIT.

1. Configurar Atributos SAML Enviados pelo Entra ID

Para que o Provisionamento JIT funcione, os atributos SAML apropriados e obrigatórios precisam ser configurados, que serão enviados na Asserção SAML para o OCI IAM por Entra ID.

  1. No navegador, acesse o ID do Microsoft Entra usando o URL:
    https://entra.microsoft.com
  2. Navegue até Aplicativos Empresariais.
  3. Selecione o aplicativo da Console do Oracle Cloud Infrastructure.
    Observação

    Este é o aplicativo que você criou como parte do SSO Between OCI and Microsoft Entra ID.
  4. No menu esquerdo, selecione Single sign-on.
  5. Na seção Atributos e Solicitações, selecione Editar.
  6. Verifique se os atributos estão configurados corretamente:
    • NameID
    • Email Address
    • First Name
    • Last Name

    Se você precisar de novas reivindicações, adicione-as.

  7. Anote todos os nomes de solicitação configurados. Por exemplo

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    é o nome da reivindicação para First Name.

    Atributos e reivindicações

  8. Navegue até Grupos. Você verá todos os grupos disponíveis no Entra ID.
  9. Anote os ids de Objeto dos grupos que desejam fazer parte do SAML a serem enviados ao OCI IAM.

    Detalhes do grupo no ID do Entra

Configurações Adicionais do ID do Entra

No ID do Entra, você pode filtrar grupos com base no nome do grupo ou no atributo sAMAccountName.

Por exemplo, suponha que somente o grupo Administrators precise ser enviado usando o SAML:

  1. Selecione a reivindicação de grupo.
  2. Em Reivindicações de grupo, expanda Opções avançadas.
  3. Selecione Grupos de Filtros.
    • Para Atributo para correspondência, selecione Display Name.
    • Para Corresponder com, selecione contains.
    • Para String, forneça o nome do grupo, por exemplo, Administrators.

    Filtrar grupos

Usando essa opção, mesmo que o usuário do grupo de administradores faça parte de outros grupos, o Entra ID só envia o grupo Administradores no SAML.
Observação

Isso ajuda as organizações a enviar somente os grupos necessários do Entra ID para o OCI IAM.
2. Configurar Atributos JIT no OCI IAM

No OCI IAM, atualize o ID de Entra IdP para JIT.

  1. Abra um browser suportado e informe o URL da Console:

    https://cloud.oracle.com

  2. Informe seu Nome da Conta do Nuvem, também conhecido como nome de sua tenancy, e selecione Próximo.
  3. Selecione o domínio de identidades que será usado para configurar o SSO.
  4. Entre com seu nome de usuário e senha.
  5. Abra o menu de navegação e selecione Identidade e Segurança.
  6. Em Identidade, selecione Domínios.
  7. Selecione o domínio de identidades no qual você já configurou o ID do Entra como IdP.
  8. Selecione Segurança no menu à esquerda e, em seguida, Provedores de identidade.
  9. Selecione o ID de Entrada IdP.
    Observação

    Este é o Entra ID IdP criado como parte do SSO Entre o OCI e o Microsoft Entra ID.
  10. Na página ID da Entrada IdP, selecione Configurar JIT.

    Página de configuração do provedor de identidades Entra ID no IAM

  11. Na página Configurar provisionamento just-in-time (JIT):
    • Selecione Provisionamento JIT (Just-In-Time).
    • Selecione Criar um novo usuário do domínio de identidade.
    • Selecione Atualizar o usuário existente do domínio da identidade.

    ativar provisionamento just-in-time

  12. Em Mapear atributos do Usuário:
    1. Deixe a primeira linha para NameID inalterada.
    2. Para outros atributos, em IdP user attribute, selecione Attribute.
    3. Forneça o nome do atributo do usuário IdP da seguinte forma
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Selecione Adicionar Linha e informe: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

      Para o atributo de usuário do domínio de identidades, escolha First name.

      Observação

      O nome para exibição totalmente qualificado (FQDN) é de 1. Configurar Atributos SAML Enviados por ID de Entra.

    Este diagrama mostra como devem ser os atributos de usuário no OCI IAM (à direita) e o mapeamento de atributos de usuário entre o Entra ID e o OCI IAM.

    Mapeamento de atributos do usuário entre o Entra ID e o OCI IAM

  13. Selecione Atribuir mapeamento de grupo.
  14. Informe o Nome do atributo de associação do grupo: http://schemas.microsoft.com/ws/2008/06/identity/claims/groups.
  15. Selecione Definir mapeamentos de associação de grupo explícito.
  16. Em IdP Nome do grupo, forneça o ID do Objeto do grupo no ID do Entra da etapa anterior.
  17. Em Nome do grupo de domínios de identidades e selecione o grupo no OCI IAM para o qual mapear o grupo de Entra ID.

    Atribuir mapeamentos de grupo

    Este diagrama mostra como devem ser os atributos de grupo no OCI IAM (à direita) e o mapeamento de atributos de grupo entre o Entra ID e o OCI IAM.

    Mapeamento de atributos de grupo entre o Entra ID e o OCI IAM

  18. Em Assignment Rules, selecione o seguinte:
    1. Ao designar associações de grupo: Mesclar para associações de grupo existentes
    2. Quando um grupo não for encontrado: Ignore o grupo ausente

    definindo regras de atribuição

    Observação

    Selecione opções com base nos requisitos da sua organização.
  19. Selecione Salvar alterações.
3. Testar o Provisionamento JIT entre Entra ID e OCI
Nesta seção, você pode testar se o provisionamento JIT funciona entre o Entra ID e o OCI IAM.
  1. Na console do Entra ID, crie um novo usuário com um ID de e-mail que não esteja presente no OCI IAM.

  2. Atribua o usuário aos grupos necessários.

    atribuir usuário a grupos

  3. No browser, abra a Console do OCI.
  4. Selecione o domínio de identidades no qual a configuração JIT foi ativada.
  5. Selecione Próximo.
  6. Nas opções de conexão, selecione ID da Entrada.
  7. Na página de login da Microsoft, informe o ID do usuário recém-criado.

    Página de login da Microsoft

  8. Na autenticação bem-sucedida da Microsoft:
    • A conta de usuário é criada no OCI IAM.
    • O usuário está conectado à Console do OCI.

    Meu Perfil no OCI IAM para usuário

  9. No menu de navegação, selecione o menu Perfil Ícone do menu Perfil e, em seguida, selecione Definições do usuário. Verifique as propriedades do usuário, como id do e-mail, nome, sobrenome e grupos associados.

    Verificar propriedades do usuário no OCI IAM

O Que Vem a Seguir

Parabéns! Você configurou com sucesso o provisionamento JIT entre o Entra ID e o OCI IAM.

Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: