Documentação do Oracle Cloud Infrastructure

Tutorial 1: Entra ID como Origem Autorizada para Gerenciar Identidades Usando o Aplicativo Entra ID Gallery

Configure o Entra ID como o armazenamento de identidades autorizado para gerenciar identidades no OCI IAM usando um modelo de aplicativo da Galeria Entra ID.

  1. Configure o OCI IAM para que o Entra ID seja o armazenamento de identidades para gerenciar identidades no OCI IAM. No OCI IAM, crie um aplicativo confidencial.
  2. Gere um token secreto do ID do cliente e do segredo do cliente do domínio de identidades do OCI IAM. Use isso, junto com o URL do domínio, no Entra ID.
  3. Crie um aplicativo no Entra ID e use o token secreto e o URL do domínio de identidades para especificar o domínio de identidades do OCI IAM, e prove que ele funciona enviando usuários do Entra ID para o OCI IAM.
  4. Designe ao aplicativo Entra ID os usuários e grupos que você deseja provisionar para o OCI IAM.
  1. Além disso, instruções sobre como
    • Defina o status federado dos usuários para que eles sejam autenticados pelo provedor de identidades externo.
    • Impeça que os usuários recebam e-mails de notificação quando sua conta for criada ou atualizada.
1. Criar um Aplicativo Confidencial

Nesta seção, você configura o Entra ID para atuar como o gerenciador de identidades para que as contas de usuário sejam sincronizadas do Entra ID com o OCI IAM.

  1. No domínio de identidades em que estiver trabalhando, selecione Aplicativos.
  2. Selecione Adicionar Aplicativo, Aplicativo Confidencial e Iniciar workflow.

    Aplicativo confidencial

  3. Informe um nome para o aplicativo, por exemplo, Entra ID, selecione Próximo.
  4. Na configuração de Cliente, selecione Configurar este aplicativo como cliente agora.

    Configurar aplicativo como cliente

  5. Em Autorização, verifique credenciais do cliente.

    Configurar aplicativo para credenciais do cliente

  6. Em Tipo de cliente, selecione Confidencial.
  7. Role para baixo e, na seção de Política de emissão de token, defina Recursos autorizados como Específico.

    Política de emissão de token

  8. Selecione Adicionar atribuições do aplicativo.
  9. Na seção Atribuições do Aplicativo, selecione Adicionar atribuições e, na página Adicionar atribuições do aplicativo, selecione Administrador de Usuários e Adicionar.

    Adicionar atribuições de aplicativo

  10. Selecione Próximo e Finalizar.
  11. Na página de visão geral do aplicativo, selecione Ativar e confirme que deseja ativar o aplicativo.

    O aplicativo confidencial será ativado.

2. Localizar o URL do Domínio e Gerar um Token Secreto

Você precisa de duas informações para usar como parte das definições de conexão do aplicativo empresarial que você cria no ID do Entra:

  • O URL de domínio.
  • Um token de segredo gerado do ID e do segredo do cliente.
  1. Retorne à visão geral do domínio de identidades selecionando o nome do domínio de identidades nas trilhas estruturais. Selecione Copiar ao lado do URL do Domínio nas informações do Domínio e salve o URL em um aplicativo no qual você possa editá-lo.

    As informações do domínio que mostram onde estão as informações de URL do Domínio.

  2. No aplicativo confidencial do OCI IAM, selecione OAuth configuration em Resources.
  3. Role a tela para baixo e localize o ID do Cliente e o Segredo do Cliente em Informações Gerais.
  4. Copiar o ID do cliente e armazená-lo
  5. Selecione Mostrar segredo, copie o segredo e armazene-o.

    ID e segredo do cliente

    O token secreto é a codificação base64 de <clientID>:<clientsecret> ou
    base64(<clientID>:<clientsecret>)

    Estes exemplos mostram como gerar o token secreto no Windows, Linux ou MacOS.

    Em um ambiente Windows, abra o CMD e use esse comando powershell para gerar a codificação base64 [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))

    No Linux, use
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    Em MacOS, use
    echo -n <clientID>:<clientsecret> | base64
    O token secreto é retornado. Para
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Anote o valor do token secreto.

3. Criar aplicativo OCI no ID Entra

Configure o Entra ID para permitir que o Entra ID seja o armazenamento de identidades autorizado para gerenciar identidades no IAM.

  1. No browser, acesse o ID do Microsoft Entra usando o URL:
    https://portal.azure.com
  2. Selecione Identidade e, em seguida, Aplicativos.
  3. Selecione Aplicativos empresariais.

    Adicionar um aplicativo empresarial

  4. Na página Aplicativos empresariais, selecione Novo aplicativo e, em seguida, Oracle.
  5. Selecione a Console do Oracle Cloud Infrastructure.

    Escolher Console do Oracle Cloud Infrastructure

  6. Digite um nome ou aceite o padrão Oracle Cloud Infrastructure Console.
  7. Selecione Criar.

    Criar aplicativo da console do OCI IAM

  8. Escolha Provisionamento no menu esquerdo em Gerenciar.

    Página de provisionamento do aplicativo empresarial no ID Entra

  9. Selecione Começar e altere o Modo de Provisionamento para Automático.
  10. Em URL do Tenant, informe o URL do Domínio do OCI IAM de 2. Localizar o URL do Domínio e Gerar um Token Secreto, seguido por /admin/v1. Ou seja, o URL do tenant é 
    https://<domainURL>/admin/v1
  11. Digite o token secreto gerado em 2. Localizar o URL do Domínio e Gerar um Token Secreto.

    Informar credenciais administrativas

  12. Selecione Testar Conexão. Quando esta mensagem aparece, a conexão é bem-sucedida
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. Escolha Provisionamento no menu esquerdo em Gerenciar e selecione Iniciar provisionamento. O ciclo de provisionamento começa e o status do provisionamento é exibido.
4. Atribuir Usuários e Grupos ao Aplicativo Entra ID

Designe ao aplicativo Entra ID os usuários que você deseja provisionar para o OCI IAM.

  1. No Entra ID, no menu esquerdo, selecione Aplicativos empresariais.
  2. Selecione o aplicativo criado anteriormente, Oracle Cloud Infrastructure Console.
  3. No menu esquerdo em Gerenciar, selecione Usuários e grupos.
  4. Na página Usuários e grupos, selecione Adicionar usuário/grupo.
  5. Na página Adicionar Designação, à esquerda, em Usuários e grupos, selecione Nenhuma Selecionada.

    A página Usuários e grupos será aberta.

  6. Selecione um ou mais usuários ou grupos na lista selecionando-os. Os elementos selecionados serão listados em Itens selecionados.

    Usuários e Grupos

  7. Selecione Selecionar. O número de usuários e grupos selecionados é mostrado na página Adicionar Atribuição.

    O número de usuários e grupos selecionados é mostrado na página Adicionar Atribuição.

  8. Na página Adicionar Atribuição, selecione Atribuir.

    A página Usuários e grupos agora mostra os usuários e os grupos que você escolheu.

    Os usuários e o grupo que você escolheu são mostrados na lista de usuários e grupos do aplicativo.

  9. Selecione Provisionamento no menu esquerdo para provisionar os grupos e usuários. O log de provisionamento mostra o status.

    O log de provisionamento mostrando um status de bem-sucedido.

  10. Após o provisionamento bem-sucedido, o Status do ciclo atual mostrará que o ciclo incremental foi concluído e o número de usuários provisionados para o OCI IAM será mostrado.

    O status do provisionamento é mostrado, juntamente com o número de usuários provisionados para o OCI IAM

    No OCI IAM, agora você poderá ver os usuários e grupos provisionados do Entra ID.

    Os usuários do Entra ID agora provisionados no IAM
    Observação

    Quando você remover usuários do aplicativo de console do Oracle Cloud Infrastructure no Entra ID, o usuário só será desativado no OCI IAM.

    Os grupos Entra ID agora provisionados no IAM

5. Configurações Adicionais para Usuários Federados
  • Você pode definir o status federado dos usuários para que eles sejam autenticados pelo provedor de identidades externo.
  • Você pode desativar os e-mails de notificação que estão sendo enviados ao usuário quando sua conta é criada ou atualizada.
a. Definindo o Status Federado dos Usuários

Os usuários federados não têm credenciais para acessar diretamente o OCI. Em vez disso, eles são autenticados pelo provedor de identidades externo. Se você quiser que os usuários usem suas contas federadas para acessar o OCI, defina o atributo federado como verdadeiro para esses usuários.

Para definir o status federado do usuário:

  1. No browser, acesse o ID do Microsoft Entra usando o URL:
    https://portal.azure.com
  2. Selecione Identidade e, em seguida, Aplicativos.
  3. Selecione Aplicativos empresariais.
  4. Selecione o aplicativo criado anteriormente, Oracle Cloud Infrastructure Console.
  5. No menu esquerdo em Gerenciar, selecione Provisionamento e Editar Provisionamento.
  6. Na página Provisionamento, selecione Mapeamentos.

  7. Em Mapeamentos, selecione Provisionar Usuários do Entra ID.

  8. Em Mapeamentos de Atributos, role para baixo e selecione Adicionar Novo Mapeamento.

    Adicionar Novo Campo de Mapeamento em Mapeamentos de Atributo

  9. Na página Editar Atributo:
    • Para Tipo de mapeamento, escolha Expression.
    • Para Expressão, digite CBool("true").
    • Para Atributo de Destino, escolha urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser.

      Página Editar Atributo

  10. Selecione Ok.
  11. Na página Mapeamento de Atributos, selecione Salvar.

Agora, quando os usuários são provisionados do Entra ID para o OCI, seu status federado é definido como verdadeiro. Você pode ver isso na página de perfil do usuário.

  • Na Console do OCI, navegue até o domínio de identidades que você está usando, selecione Usuários e selecione o usuário para mostrar as informações do usuário.
  • Federado é mostrado como Yes.

    Informações do usuário mostrando que o usuário é federado

b. Desativar Notificações para Criação ou Atualizações de Conta

O flag de notificação de bypass controla se uma notificação por e-mail é enviada após a criação ou atualização de uma conta de usuário no OCI. Se você não quiser que os usuários sejam notificados de que a conta foi criada para eles, defina o flag de notificação de bypass como verdadeiro.

Para definir o flag de notificação de bypass:

  1. No browser, acesse o ID do Microsoft Entra usando o URL:
    https://portal.azure.com
  2. Selecione Identidade e, em seguida, Aplicativos.
  3. Selecione Aplicativos empresariais.
  4. Selecione o aplicativo criado anteriormente, Oracle Cloud Infrastructure Console.
  5. No menu esquerdo em Gerenciar, selecione Provisionamento e Editar Provisionamento.
  6. Na página Provisionamento, selecione Mapeamentos.

  7. Em Mapeamentos, selecione Provisionar Usuários do Entra ID.

    Provisionar Usuários de ID de Entrada em Mapeamentos, na página Modo de Provisionamento

  8. Em Mapeamentos de Atributos, role para baixo e selecione Adicionar Novo Mapeamento.

    Adicionar Novo Campo de Mapeamento em Mapeamentos de Atributo

  9. Na página Editar Atributo:
    • Para Tipo de mapeamento, escolha Expression.
    • Para Expressão, digite CBool("true").
    • Para Atributo de Destino, escolha urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification.

      Página Editar Atributo

  10. Selecione Ok.
  11. Na página Mapeamento de Atributos, selecione Salvar.