Documentação do Oracle Cloud Infrastructure

Tutorial 1: Entra ID como Fonte Autorizada para Gerenciar Identidades Usando o Aplicativo Entra ID Gallery

Configure o Entra ID como o armazenamento de identidades autorizado para gerenciar identidades no OCI IAM usando um modelo de aplicativo da Galeria de IDs do Entra.

  1. Configure o OCI IAM para que o Entra ID seja o armazenamento da identidade para gerenciar identidades no OCI IAM. No OCI IAM, crie um aplicativo confidencial.
  2. Gere um token de segredo com base no ID e no segredo do cliente do domínio de identidades da OCI IAM. Use essa opção, juntamente com o URL do domínio, no Entra ID.
  3. Crie um aplicativo no Entra ID e use o token secreto e a URL de domínio do OCI para especificar o domínio do OCI IAM e provar que ele funciona enviando usuários do Entra ID para o OCI IAM.
  4. Designe aos usuários e grupos que você deseja provisionar ao OCI IAM para o aplicativo Entra ID.
  1. Além disso, instruções sobre como
    • Defina o status federado dos usuários para que eles sejam autenticados pelo provedor de identidades externo.
    • Impeça que os usuários recebam e-mails de notificação quando sua conta for criada ou atualizada.
1. Criar um Aplicativo Confidencial

Nesta seção, você configura o Entra ID para atuar como o gerenciador de identidades, de modo que as contas de usuário sejam sincronizadas do Entra ID para o OCI IAM.

  1. No domínio da identidade em que você está trabalhando, selecione Aplicativos.
  2. Selecione Adicionar Aplicativo, Aplicativo Confidencial e Iniciar workflow.

    Aplicativo confidencial

  3. Informe um nome para a aplicação, por exemplo, Entra ID, selecione Próximo.
  4. Na configuração do Cliente, selecione Configurar este aplicativo como cliente agora.

    Configurar aplicativo como cliente

  5. Em Autorização, verifique Credenciais do cliente.

    Configurar o aplicativo para credenciais do cliente

  6. Em Tipo de cliente, selecione Confidencial.
  7. Role para baixo e, na seção Política de emissão de Token, defina Recursos autorizados como Específicos.

    Política de emissão de token

  8. Selecione Adicionar funções de aplicativo.
  9. Na seção Atribuições de Aplicativo, selecione Adicionar atribuições e, na página Adicionar atribuições de aplicativo, selecione Administrador de Usuários e, em seguida, selecione Adicionar.

    Adicionar funções de aplicativo

  10. Selecione Próximo, depois Concluir.
  11. Na página da visão geral do aplicativo, selecione Ativar e confirme se deseja ativar o aplicativo.

    O aplicativo confidencial será ativado.

2. Localizar o URL do Domínio e Gerar um Token Secreto

Você precisa de duas informações para usar como parte das definições da conexão para o aplicativo empresarial criado no ID do Entra:

  • O URL de domínio.
  • Um token de segredo gerado do ID e do segredo do cliente.
  1. Retorne à visão geral do domínio de identidades selecionando o nome de domínio de identidades nas trilhas estruturais. Selecione Copiar ao lado do URL de Domínio nas informações de Domínio e salve o URL para um aplicativo em que você possa editá-lo.

    As informações do domínio que mostram onde estão as informações de URL do Domínio.

  2. No aplicativo confidencial no OCI IAM, selecione configuração OAuth em Recursos.
  3. Role para baixo e localize ID do Cliente e Segredo do cliente em Informações Gerais.
  4. Copiar o ID do cliente e armazená-lo
  5. Selecione Mostrar segredo e copie o segredo e armazene-o.

    ID e segredo do cliente

    O token secreto é a codificação base64 de <clientID>:<clientsecret> ou
    base64(<clientID>:<clientsecret>)

    Estes exemplos mostram como gerar o token secreto no Windows, Linux ou MacOS.

    Em um ambiente Windows, abra o CMD e use este comando powershell para gerar a codificação base64[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))

    No Linux, use
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    No MacOS, use
    echo -n <clientID>:<clientsecret> | base64
    O token secreto é retornado. Por exemplo
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Anote o valor do token secreto.

3. Criar aplicativo OCI no Entra ID

Configure o Entra ID para permitir que o Entra ID seja o armazenamento de identidades autorizado a gerenciar identidades no serviço IAM.

  1. No navegador, acesse o ID do Microsoft Entra usando o URL:
    
                            https://portal.azure.com
  2. Selecione Identidade e, em seguida, Aplicativos.
  3. Selecione Aplicativos empresariais.

    Adicionar um aplicativo empresarial

  4. Na página Aplicativos Empresariais, selecione Novo aplicativo e Oracle.
  5. Selecione Console do Oracle Cloud Infrastructure.

    Escolher Console do Oracle Cloud Infrastructure

  6. Digite um nome ou aceite o padrão Oracle Cloud Infrastructure Console.
  7. Selecione Criar.

    Criar aplicativo de console do OCI IAM

  8. Escolha Provisionando no menu esquerdo em Gerenciar.

    Página de provisionamento do aplicativo empresarial no Entra ID

  9. Selecione Conceitos Básicos e altere Modo de Provisionamento para Automático.
  10. Em URL do Locatário, informe o URL de Domínio do OCI IAM no 2. Localize o URL de Domínio e Gere um Token Secreto seguido por /admin/v1. Ou seja, o URL do tenant é 
    https://<domainURL>/admin/v1
  11. Digite o token secreto gerado em 2. Localizar o URL do Domínio e Gerar um Token Secreto.

    Informar credenciais administrativas

  12. Selecione Testar Conexão. Quando esta mensagem aparece, a conexão é bem-sucedida
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. Escolha Provisionando no menu esquerdo, em Gerenciar, e selecione Iniciar provisionamento. O ciclo de provisionamento começa e o status do provisionamento é exibido.
4. Atribuir Usuários e Grupos ao Aplicativo Entra ID

Atribua aos usuários que você deseja provisionar ao OCI IAM para o aplicativo Entra ID.

  1. Em Entra ID, no menu esquerdo, selecione Aplicativos empresariais.
  2. Selecione o aplicativo criado anteriormente, Oracle Cloud Infrastructure Console.
  3. No menu esquerdo em Gerenciar, selecione Usuários e grupos.
  4. Na página Usuários e grupos, selecione Adicionar usuário/grupo.
  5. Na página Adicionar Atribuição, à esquerda, em Usuários e grupos, selecione Nenhum Selecionado.

    A página Usuários e grupos é aberta.

  6. Selecione um ou mais usuários ou grupos na lista selecionando-os. Os elementos selecionados serão listados em Itens selecionados.

    Usuários e Grupos

  7. Selecione Selecionar. O número de usuários e grupos selecionados é mostrado na página Adicionar Atribuição.

    O número de usuários e grupos que você selecionou é mostrado na página Adicionar Atribuição.

  8. Na página Adicionar Atribuição, selecione Atribuir.

    A página Usuários e grupos agora mostra os usuários e grupos escolhidos.

    Os usuários e o grupo que você escolheu são mostrados na lista de usuários e grupos do aplicativo.

  9. Selecione Provisionamento no menu esquerdo para provisionar os grupos e usuários. O log de provisionamento mostra o status.

    O log de provisionamento mostrando um status de bem-sucedido.

  10. Quando o provisionamento foi bem-sucedido, o status do ciclo atual mostra que o ciclo incremental foi concluído e o número de usuários provisionados para o OCI IAM é mostrado.

    O status do provisionamento é mostrado, juntamente com o número de usuários provisionados para o OCI IAM

    No OCI IAM, agora você pode ver os usuários e grupos provisionados pelo Entra ID.

    Os usuários do Entra ID agora provisionados no IAM
    Observação

    Quando você remove usuários do aplicativo da console do Oracle Cloud Infrastructure no Entra ID, o usuário só será desativado no OCI IAM.

    Os grupos Entra ID agora provisionados no IAM

5. Configurações Adicionais para Usuários Federados
  • Você pode definir o status federado dos usuários para que eles sejam autenticados pelo provedor de identidades externo.
  • Você pode desativar os e-mails de notificação que estão sendo enviados ao usuário quando sua conta é criada ou atualizada.
a. Definindo o Status Federado dos Usuários

Os usuários federados não têm credenciais para acessar diretamente o OCI. Em vez disso, eles são autenticados pelo provedor de identidades externo. Se você quiser que o usuário use suas contas federadas para acessar o OCI, defina o atributo federado como verdadeiro para esses usuários.

Para definir o status federado do usuário:

  1. No navegador, acesse o ID do Microsoft Entra usando o URL:
    
                                https://portal.azure.com
  2. Selecione Identidade e, em seguida, Aplicativos.
  3. Selecione Aplicativos empresariais.
  4. Selecione o aplicativo criado anteriormente, Oracle Cloud Infrastructure Console.
  5. No menu esquerdo em Gerenciar, selecione Provisionamento e, em seguida, selecione Editar Provisionamento.
  6. Na página Provisionamento, selecione Mapeamentos.

  7. Em Mapeamentos, selecione Provisionar Usuários do ID da Entra.

  8. Em Mapeamentos de Atributos, role para baixo e selecione Adicionar Novo Mapeamento.

    Adicionar novo campo de mapeamento em Mapeamentos de atributo

  9. Na página Editar Atributo:
    • Para Tipo de mapeamento, escolha Expression.
    • Para Expressão, digite CBool("true").
    • Para Atributo de Destino, escolha urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser.

      Editar Atributo, página

  10. Selecione Ok.
  11. Na página Mapeamento de Atributo, selecione Salvar.

Agora, quando os usuários são provisionados do Entra ID para o OCI, seu status federado é definido como verdadeiro. Você pode ver isso na página de perfil do usuário.

  • Na Console do OCI, navegue até o domínio de identidades que você está usando, selecione Usuários e selecione o usuário para mostrar as informações do usuário.
  • Federado é mostrado como Yes.

    Informações do usuário mostrando que o usuário é federado

b. Desativar Notificações para Criação ou Atualizações de Conta

O flag de notificação de bypass controla se uma notificação de e-mail é enviada após a criação ou atualização de uma conta de usuário na OCI. Se você não quiser que os usuários sejam notificados de que a conta foi criada para eles, defina o flag de notificação de bypass como verdadeiro.

Para definir o indicador de notificação de bypass:

  1. No navegador, acesse o ID do Microsoft Entra usando o URL:
    
                                https://portal.azure.com
  2. Selecione Identidade e, em seguida, Aplicativos.
  3. Selecione Aplicativos empresariais.
  4. Selecione o aplicativo criado anteriormente, Oracle Cloud Infrastructure Console.
  5. No menu esquerdo em Gerenciar, selecione Provisionamento e, em seguida, selecione Editar Provisionamento.
  6. Na página Provisionamento, selecione Mapeamentos.

  7. Em Mapeamentos, selecione Provisionar Usuários do ID da Entra.

    Provisionar Usuários de ID de Entra em Mapeamentos, na página Modo de Provisionamento

  8. Em Mapeamentos de Atributos, role para baixo e selecione Adicionar Novo Mapeamento.

    Adicionar novo campo de mapeamento em Mapeamentos de atributo

  9. Na página Editar Atributo:
    • Para Tipo de mapeamento, escolha Expression.
    • Para Expressão, digite CBool("true").
    • Para Atributo de Destino, escolha urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification.

      Editar Atributo, página

  10. Selecione Ok.
  11. Na página Mapeamento de Atributo, selecione Salvar.