Documentação do Oracle Cloud Infrastructure

Provisionamento JIT do Entra ID para o OCI IAM

Neste tutorial, você configura o Provisionamento Just-In-Time (JIT) entre a Console do OCI e o Entra ID, usando o Entra ID como o IdP.

Você pode configurar o provisionamento JIT para que as identidades possam ser criadas no sistema de destino durante o runtime, como e quando eles fazem uma solicitação para acessar o sistema de destino.

Este tutorial abrange as seguintes etapas:

  1. Configurar o ID Entra IdP no OCI IAM para JIT.
  2. Atualize a configuração do aplicativo OCI IAM no Entra ID.
  3. Teste se você pode provisionar do Entra ID para o OCI IAM.
Observação

Este tutorial é específico do serviço IAM com Domínios de Identidades.
Antes de Começar

Para executar este tutorial, você deve ter o seguinte:

Além disso, você deve ter concluído o tutorial SSO Entre o OCI e o Microsoft Entra ID e coletado o ID do objeto dos grupos que você usará para Provisionamento JIT.

1. Configurar Atributos SAML Enviados por ID Inteiro

Para que o Provisionamento JIT funcione, os atributos SAML apropriados e necessários devem ser configurados, que serão enviados na Asserção SAML para o OCI IAM pelo Entra ID.

  1. No browser, acesse o ID do Microsoft Entra usando o URL:
    https://entra.microsoft.com
  2. Navegue até Aplicativos Empresariais.
  3. Selecione o aplicativo Oracle Cloud Infrastructure Console.
    Observação

    Este é o aplicativo que você criou como parte do SSO Entre o OCI e o Microsoft Entra ID.
  4. No menu esquerdo, selecione Sign-on único.
  5. Na seção Atributos e Reivindicações, selecione Editar.
  6. Verifique se os atributos estão configurados corretamente:
    • NameID
    • Email Address
    • First Name
    • Last Name

    Se você precisar de novas reivindicações, adicione-as.

  7. Anote todos os nomes de reivindicação configurados. Para

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    é o nome da reivindicação para First Name.

    Atributos e reivindicações

  8. Navegue até Grupos. Você verá todos os grupos disponíveis em Entra ID.
  9. Anote os ids de Objetos dos grupos que desejam fazer parte do SAML para enviar ao OCI IAM.

    Detalhes do grupo no ID de Entra

Configurações Adicionais de ID de Entrada

Em Entra ID, você pode filtrar grupos com base no nome do grupo ou no atributo sAMAccountName.

Por exemplo, suponha que apenas o grupo Administrators precise ser enviado por meio do SAML:

  1. Selecione a reivindicação do grupo.
  2. Em Reivindicações de Grupo, expanda Opções avançadas.
  3. Selecione Grupos de Filtros.
    • Para Atributo a ser correspondido, selecione Display Name.
    • Para Corresponder com, selecione contains.
    • Para String, forneça o nome do grupo, por exemplo, Administrators.

    Filtro para grupos

Usando essa opção, mesmo que o usuário no grupo de administradores faça parte de outros grupos, o Entra ID só enviará o grupo Administradores no SAML.
Observação

Isso ajuda as organizações a enviar apenas os grupos necessários para o OCI IAM do Entra ID.
2. Configurar Atributos JIT no OCI IAM

No OCI IAM, atualize o ID Entra IdP para JIT.

  1. Abra um browser suportado e digite o URL da Console:

    https://cloud.oracle.com

  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e selecione Próximo.
  3. Selecione o domínio de identidades que será usado para configurar o SSO.
  4. Entre com seu nome de usuário e senha.
  5. Abra o menu de navegação e selecione Identidade e Segurança.
  6. Em Identidade, selecione Domínios.
  7. Selecione o domínio de identidades no qual você já configurou o ID do Entra como IdP.
  8. Selecione Segurança no menu à esquerda e, em seguida, Provedores de identidades.
  9. Selecione o ID Adicional IdP.
    Observação

    Este é o ID Entra IdP criado como parte do SSO Entre o OCI e o ID Entra da Microsoft.
  10. Na página Entra ID IdP, selecione Configurar JIT.

    Página de configuração do provedor de identidades Entra ID no IAM

  11. Na página de provisionamento JIT (Configure Just-in-time):
    • Selecione Provisionamento JIT (Just-In Time).
    • Selecione Criar um novo usuário do domínio de identidades.
    • Selecione Atualizar o usuário do domínio de identidades existente.

    ativar provisionamento just-in-time

  12. Em Mapear atributos do Usuário:
    1. Deixe a primeira linha para NameID inalterada.
    2. Para outros atributos, em IdP user attribute, selecione Attribute.
    3. Forneça o nome do atributo do usuário IdP da seguinte forma
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Selecione Adicionar Linha e digite: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

      Para o atributo de usuário do domínio de identidades, escolha First name.

      Observação

      O nome para exibição totalmente qualificado (FQDN) é de 1. Configurar Atributos SAML Enviados por ID de Entra.

    Este diagrama mostra como devem ser os atributos do usuário no OCI IAM (à direita) e o mapeamento de atributos do usuário entre o Entra ID e o OCI IAM.

    Mapeamento de atributos de usuário entre o Entra ID e o OCI IAM

  13. Selecione Designar mapeamento de grupo.
  14. Informe o Nome do atributo de associação do grupo: http://schemas.microsoft.com/ws/2008/06/identity/claims/groups.
  15. Selecione Definir mapeamentos explícitos de associação a grupo.
  16. Em IdP Nome do grupo, forneça o ID do Objeto do grupo no ID de Entra da etapa anterior.
  17. Em Nome do grupo do domínio de identidades e selecione o grupo no OCI IAM para o qual mapear o grupo Entra ID.

    Designar mapeamentos de grupo

    Este diagrama mostra como devem ser os atributos de grupo no OCI IAM (à direita) e o mapeamento de atributos de grupo entre o Entra ID e o OCI IAM.

    Mapeamento de atributos de grupo entre o Entra ID e o OCI IAM

  18. Em Regras de atribuição, selecione o seguinte:
    1. Ao atribuir associações a grupos: Mesclar com associações a grupos existentes
    2. Quando um grupo não for encontrado: Ignore o grupo ausente

    definindo regras de atribuição

    Observação

    Selecione opções com base nos requisitos da sua organização.
  19. Selecione Salvar alterações.
3. Testar o Provisionamento JIT entre o Entra ID e o OCI
Nesta seção, você pode testar se o provisionamento JIT funciona entre o Entra ID e o OCI IAM.
  1. Na console do Entra ID, crie um novo usuário com um ID de e-mail que não esteja presente no OCI IAM.

  2. Designe o usuário aos grupos necessários.

    designar usuários a grupos

  3. No browser, abra a Console do OCI.
  4. Selecione o domínio de identidades no qual a configuração JIT foi ativada.
  5. Selecione Próximo.
  6. Nas opções de sign-on, selecione Entra ID.
  7. Na página de login da Microsoft, insira o ID de usuário recém-criado.

    Página de login da Microsoft

  8. Na autenticação bem-sucedida da Microsoft:
    • A conta de usuário é criada no OCI IAM.
    • O usuário está conectado à Console do OCI.

    Meu Perfil no OCI IAM para o usuário

  9. No menu de navegação , selecione o menu Perfil Ícone do menu Perfil e, em seguida, selecione Definições do usuário ou Meu perfil, dependendo da opção que você vir. Verifique as propriedades do usuário, como id do e-mail, nome, sobrenome e grupos associados.

    Verificar propriedades do usuário no OCI IAM

O Que Vem a Seguir

Parabéns! Você configurou com sucesso o provisionamento JIT entre o Entra ID e o OCI IAM.

Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: