Documentação do Oracle Cloud Infrastructure

Tutorial 1: Entra ID como Origem Autorizada para Gerenciar Identidades Usando o Aplicativo Entra ID Gallery

Configure o ID do Entra como o armazenamento de identidades autorizado para gerenciar identidades no OCI IAM usando um modelo de aplicativo da Galeria do ID do Entra.

  1. Configure o OCI IAM para que Entra ID seja o armazenamento de identidades para gerenciar identidades no OCI IAM. No OCI IAM, crie um aplicativo confidencial.
  2. Gere um token secreto do ID do cliente e do segredo do cliente do domínio de identidades do OCI IAM. Use isso, juntamente com o URL do domínio, no ID Entra.
  3. Crie um aplicativo no ID do Entra e use o token secreto e o URL do domínio de identidades para especificar o domínio de identidades do OCI IAM, e prove que ele funciona enviando usuários do ID do Entra para o OCI IAM.
  4. Designe ao aplicativo Entra ID os usuários e grupos que você deseja provisionar para o OCI IAM.
  1. Além disso, instruções sobre como
    • Defina o status federado dos usuários para que eles sejam autenticados pelo provedor de identidades externo.
    • Impeça que os usuários recebam e-mails de notificação quando sua conta for criada ou atualizada.
1. Criar um Aplicativo Confidencial

Nesta seção, você configura o ID do Entra para atuar como o gerenciador de identidades para que as contas de usuário sejam sincronizadas do ID do Entra com o OCI IAM.

  1. No domínio de identidades em que estiver trabalhando, clique em Aplicativos.
  2. Clique em Adicionar Aplicativo, escolha Aplicativo Confidencial e clique em Iniciar workflow.

    Aplicativo confidencial

  3. Informe um nome para o aplicativo; por exemplo, Entra ID; clique em Próximo.
  4. Na configuração de Cliente, selecione Configurar este aplicativo como cliente agora.

    Configurar aplicativo como cliente

  5. Em Autorização, verifique credenciais do cliente.

    Configurar aplicativo para credenciais do cliente

  6. Em Tipo de cliente, selecione Confidencial.
  7. Role para baixo e, na seção de Política de emissão de token, defina Recursos autorizados como Específico.

    Política de emissão de token

  8. Selecione Adicionar atribuições do aplicativo.
  9. Na seção Atribuições do Aplicativo, clique em Adicionar atribuições e, na página Adicionar atribuições do aplicativo, selecione Administrador de Usuários e clique em Adicionar.

    Adicionar atribuições de aplicativo

  10. Clique em Próximo e em Concluir.
  11. Na página de visão geral do aplicativo, clique em Ativar e confirme que deseja ativar o aplicativo.

    O aplicativo confidencial será ativado.

2. Localizar o URL do Domínio e Gerar um Token Secreto

Você precisa de duas informações para usar como parte das definições de conexão do aplicativo empresarial que você cria no ID do Entra:

  • O URL de domínio.
  • Um token de segredo gerado do ID e do segredo do cliente.
  1. Retorne à visão geral do domínio de identidades clicando no nome do domínio de identidades nas trilhas de navegação estrutural. Clique em Copiar ao lado do URL do Domínio nas informações do Domínio e salve o URL em um aplicativo no qual você possa editá-lo.

    As informações do domínio que mostram onde estão as informações de URL do Domínio.

  2. No aplicativo confidencial do OCI IAM, clique em Configuração do OAuth em Resources.
  3. Role a tela para baixo e localize o ID do Cliente e o Segredo do Cliente em Informações Gerais.
  4. Copiar o ID do cliente e armazená-lo
  5. Clique em Mostrar segredo, copie o segredo e armazene-o.

    ID e segredo do cliente

    O token secreto é a codificação base64 de <clientID>:<clientsecret> ou
    base64(<clientID>:<clientsecret>)

    Estes exemplos mostram como gerar o token secreto no Windows, Linux ou MacOS.

    Em um ambiente Windows, abra o CMD e use esse comando powershell para gerar a codificação base64[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    No Linux, use
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    Em MacOS, use
    echo -n <clientID>:<clientsecret> | base64
    O token secreto é retornado. Para
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Anote o valor do token secreto.

3. Criar aplicativo OCI no ID Entra

Configure o ID de Entra para permitir que o ID de Entra seja o armazenamento de identidades autorizado para gerenciar identidades no serviço IAM.

  1. No browser, acesse o ID do Microsoft Entra usando o URL:
    https://portal.azure.com
  2. Clique em Identidade e em Aplicativos.
  3. Clique em Aplicativos Empresariais.

    Adicionar um aplicativo empresarial

  4. Na página Aplicativos empresariais, clique em Novo aplicativo e, em seguida, em Oracle.
  5. Selecione a Console do Oracle Cloud Infrastructure.

    Escolher Console do Oracle Cloud Infrastructure

  6. Digite um nome ou aceite o padrão Oracle Cloud Infrastructure Console.
  7. Clique em Criar.

    Criar aplicativo da console do OCI IAM

  8. Escolha Provisionamento no menu esquerdo em Gerenciar.

    Página de provisionamento do aplicativo empresarial no ID Entra

  9. Clique em Começar e altere o Modo de Provisionamento para Automático.
  10. Em URL do Tenant, informe o URL do Domínio do OCI IAM de 2. Localizar o URL do Domínio e Gerar um Token Secreto, seguido por /admin/v1. Ou seja, o URL do tenant é 
    https://<domainURL>/admin/v1
  11. Digite o token secreto gerado em 2. Localizar o URL do Domínio e Gerar um Token Secreto.

    Informar credenciais administrativas

  12. Clique em Testar Conexão. Quando esta mensagem aparece, a conexão é bem-sucedida
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. Escolha Provisionamento no menu esquerdo em Gerenciar e clique em Iniciar provisionamento. O ciclo de provisionamento começa e o status do provisionamento é exibido.
4. Atribuir Usuários e Grupos ao Aplicativo Entra ID

Designe ao aplicativo Entra ID os usuários que você deseja provisionar para o OCI IAM.

  1. No ID de Entra, no menu esquerdo, clique em Aplicativos empresariais.
  2. Clique no aplicativo criado anteriormente, Oracle Cloud Infrastructure Console.
  3. No menu esquerdo em Gerenciar, clique em Usuários e grupos.
  4. Na página Usuários e grupos, clique em Adicionar usuário/grupo.
  5. Na página Adicionar Atribuição, à esquerda em Usuários e grupos, clique em Nenhum Selecionado.

    A página Usuários e grupos será aberta.

  6. Selecione um ou mais usuários ou grupos na lista clicando neles. Os elementos selecionados serão listados em Itens selecionados.

    Usuários e Grupos

  7. Clique em Selecionar. O número de usuários e grupos selecionados é mostrado na página Adicionar Atribuição.

    O número de usuários e grupos selecionados é mostrado na página Adicionar Atribuição.

  8. Na página Adicionar Designação, clique em Designar.

    A página Usuários e grupos agora mostra os usuários e os grupos que você escolheu.

    Os usuários e o grupo que você escolheu são mostrados na lista de usuários e grupos do aplicativo.

  9. Clique em Provisionamento no menu esquerdo para provisionar os grupos e usuários. O log de provisionamento mostra o status.

    O log de provisionamento mostrando um status de bem-sucedido.

  10. Após o provisionamento bem-sucedido, o Status do ciclo atual mostrará que o ciclo incremental foi concluído e o número de usuários provisionados para o OCI IAM será mostrado.

    O status do provisionamento é mostrado, juntamente com o número de usuários provisionados para o OCI IAM

    No OCI IAM, agora você poderá ver os usuários e grupos provisionados do ID de Entra.

    Os usuários do Entra ID agora provisionados no IAM
    Observação

    Quando você remover usuários do aplicativo da console do Oracle Cloud Infrastructure no ID Entra, o usuário só será desativado no OCI IAM.

    Os grupos Entra ID agora provisionados no IAM

5. Configurações Adicionais para Usuários Federados
  • Você pode definir o status federado dos usuários para que eles sejam autenticados pelo provedor de identidades externo.
  • Você pode desativar os e-mails de notificação que estão sendo enviados ao usuário quando sua conta é criada ou atualizada.
a. Definindo o Status Federado dos Usuários

Os usuários federados não têm credenciais para acessar diretamente o OCI. Em vez disso, eles são autenticados pelo provedor de identidades externo. Se quiser que os usuários usem suas contas federadas para acessar o OCI, defina o atributo federado como verdadeiro para esses usuários.

Para definir o status federado do usuário:

  1. No browser, acesse o ID do Microsoft Entra usando o URL:
    https://portal.azure.com
  2. Clique em Identidade e em Aplicativos.
  3. Clique em Aplicativos Empresariais.
  4. Clique no aplicativo criado anteriormente, Oracle Cloud Infrastructure Console.
  5. No menu esquerdo em Gerenciar, clique em Provisionamento e, em seguida, clique em Editar Provisionamento.
  6. Na página Provisionamento, clique em Mapeamentos.

  7. Em Mapeamentos, clique em Provisionar Usuários de ID de Entrada.

  8. Em Mapeamentos de Atributos, role para baixo e clique em Adicionar Novo Mapeamento.

    Adicionar Novo Campo de Mapeamento em Mapeamentos de Atributo

  9. Na página Editar Atributo:
    • Para Tipo de mapeamento, escolha Expression.
    • Para Expressão, digite CBool("true").
    • Para Atributo de Destino, escolha urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser.

      Página Editar Atributo

  10. Clique em Ok.
  11. Na página Mapeamento de Atributos, clique em Salvar.

Agora, quando os usuários são provisionados do ID Entra para o OCI, seu status federado é definido como verdadeiro. Você pode ver isso na página de perfil do usuário.

  • Na Console do OCI, navegue até o domínio de identidades que você está usando, clique em Usuários e clique no usuário para mostrar as informações do usuário.
  • Federado é mostrado como Yes.

    Informações do usuário mostrando que o usuário é federado

b. Desativar Notificações para Criação ou Atualizações de Conta

O flag de notificação de bypass controla se uma notificação por e-mail é enviada após a criação ou atualização de uma conta de usuário no OCI. Se você não quiser que os usuários sejam notificados de que a conta foi criada para eles, defina o flag de ignorar notificação como verdadeiro.

Para definir o flag de notificação de bypass:

  1. No browser, acesse o ID do Microsoft Entra usando o URL:
    https://portal.azure.com
  2. Clique em Identidade e em Aplicativos.
  3. Clique em Aplicativos Empresariais.
  4. Clique no aplicativo criado anteriormente, Oracle Cloud Infrastructure Console.
  5. No menu esquerdo em Gerenciar, clique em Provisionamento e, em seguida, clique em Editar Provisionamento.
  6. Na página Provisionamento, clique em Mapeamentos.

  7. Em Mapeamentos, clique em Provisionar Usuários de ID de Entrada.

    Provisionar Usuários de ID de Entrada em Mapeamentos, na página Modo de Provisionamento

  8. Em Mapeamentos de Atributos, role para baixo e clique em Adicionar Novo Mapeamento.

    Adicionar Novo Campo de Mapeamento em Mapeamentos de Atributo

  9. Na página Editar Atributo:
    • Para Tipo de mapeamento, escolha Expression.
    • Para Expressão, digite CBool("true").
    • Para Atributo de Destino, escolha urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification.

      Página Editar Atributo

  10. Clique em Ok.
  11. Na página Mapeamento de Atributos, clique em Salvar.