Documentação do Oracle Cloud Infrastructure

SSO entre o OCI e o Microsoft Entra ID

Neste tutorial, configure o SSO entre o OCI IAM e o Microsoft Entra ID, usando o Entra ID como o provedor de identidades (IdP).

Este tutorial de 30 minutos mostra como integrar o OCI IAM, atuando como um provedor de serviços (SP), com o Entra ID, atuando como um IdP. Configurando a federação entre o Entra ID e o OCI IAM, você ativa o acesso dos usuários a serviços e aplicativos no OCI usando credenciais do usuário que o Entra ID autentica.

Este tutorial aborda a configuração do Entra ID como um IdP para o OCI IAM.

  1. Primeiro, faça download dos metadados no domínio da identidade do OCI IAM.
  2. Nas próximas etapas, você cria e configura um aplicativo no ID da Entra.
  3. Em Entra ID, configure o SSO com o OCI IAM usando os metadados.
  4. No ID do Entra, edite os Atributos e as Reivindicações de modo que o nome do email seja usado como o identificador para os usuários.
  5. Em Entra ID, adicione um usuário ao aplicativo.
  6. Para as próximas etapas, você retorna ao seu domínio de identidades para concluir a configuração e ao configuration.In OCI IAM, atualize a política IdP padrão para adicionar o ID da Entra.
  7. Teste se a autenticação federada funciona entre o OCI IAM e o ID do Entra.
Observação

Este tutorial é específico para o serviço IAM com Domínios de Identidade.
Antes do Início

Para executar este tutorial, você deve ter o seguinte:

Observação

O usuário usado para SSO (Single Sign-On) deve existir no OCI IAM e no Entra ID para que o SSO funcione. Depois de concluir este tutorial SSO, há outro tutorial, Identity Lifecycle Management Between OCI IAM and Entra ID. Este outro tutorial o orienta sobre como provisionar contas de usuário do Entra ID para o OCI IAM ou do OCI IAM para o Entra ID.
1. Obter os Metadados do Provedor de Serviços do OCI IAM

Você precisa dos metadados SP do seu domínio de identidades do OCI IAM para importar para o aplicativo ID da Entra SAML que você criar. O OCI IAM fornece um URL direto para fazer download dos metadados do domínio do qual você estiver usando. Para fazer download dos metadados, siga estas etapas.

  1. Abra um browser suportado e informe o URL da Console:

    https://cloud.oracle.com .

  2. Digite o Nome da Conta do Cloud, também conhecido como nome da tenancy, e selecione Próximo.
  3. Selecione o domínio de identidades que será acessado. Este é o domínio de identidades usado para configurar o SSO, por exemplo, Default.
  4. Entre com seu nome de usuário e senha.
  5. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
  6. Clique no nome do domínio de identidades no qual deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Em seguida, clique em Configurações e em Configurações de domínio.
  7. Em Acessar certificado de assinatura, marque Configurar acesso ao cliente.

    Isso permite a um cliente acessar a certificação de assinatura do domínio de identidade sem se conectar ao domínio.

  8. Selecione Salvar alterações.

    Configurar acesso do cliente na página Definições do Domínio

  9. Retorne à visão geral de domínio de identidades selecionando o nome do domínio de identidades na trilha de navegação de trilha de navegação. Selecione Copiar ao lado do URL de Domínio nas informações de Domínio e salve o URL para um aplicativo em que você possa editá-lo.

    As informações do domínio que mostram onde estão as informações de URL do Domínio.

  10. Em uma nova guia do browser, cole o URL copiado e adicione /fed/v1/metadata ao final.

    Por exemplo,

    https://idcs-<unique_ID>.identity.oraclecloud.com:443/fed/v1/metadata
  11. Os metadados do domínio de identidades são exibidos no browser. Salve-o como um arquivo XML com o nome OCIMetadata.xml.
2. Criar um Aplicativo Corporativo Entra ID

Para as próximas etapas, você está trabalhando no ID Entra.

Crie um aplicativo empresarial SAML no Entra ID.

  1. No navegador, acesse o Microsoft Entra usando o URL:
    
                                https://entra.microsoft.com
  2. Selecione Identidade e depois Aplicativos.
  3. Selecione Aplicativos empresariais e Novo aplicativo.
  4. Em Pesquisar aplicativos, digite Oracle Cloud Infrastructure Console.
  5. Selecione o mosaico Console do Oracle Cloud Infrastructure pela Oracle Corporation.
  6. Informe um nome para o aplicativo, por exemplo, Oracle IAM, e selecione Criar.

    O aplicativo empresarial é criado no ID do Entra.

3. Configurar o Sign-On Único para o Aplicativo Entra ID Enterprise

Configure o SSO para o aplicativo SAML Entra ID e faça download dos metadados SAML Entra ID. Nesta seção, você usa o arquivo do OCI IAM SP que salvou na 1. Obtenha os Metadados do Provedor de Serviço no OCI IAM.

  1. Na página Conceitos Básicos, selecione Conceitos Básicos em Configurar sign-in único.
  2. Selecione SAML e, em seguida, Fazer upload do arquivo de metadados (botão na parte superior da página). Navegue até o arquivo XML que contém as metadados do domínio da identidade do OCI, OCIMetadata.xml.
  3. Forneça o URL do Sign-on. Por exemplo 
    https://idcs-<domain_ID>.identity.oraclecloud.com/ui/v1/myconsole
  4. Selecione Salvar.
  5. Feche a página Fazer Upload de arquivos de metadados do X no canto superior direito. Se você for perguntado se deseja testar o aplicativo agora, escolha não, porque você testará o aplicativo posteriormente neste tutorial.
  6. Na página Configurar Single Sign-On com SAML, role para baixo e, em Certificado de Assinatura SAML, selecione Fazer Download ao lado de XML de Metadados da Federação.
  7. Quando solicitado, escolha Salvar Arquivo. Os metadados são salvos automaticamente com o nome de arquivo padrão <your_enterprise_app_name>.xml. Por exemplo, OracleIAM.xml.

    A página SSO baseada em SAML Entra ID

4. Editar Atributos e Reivindicações

Edite os Atributos e as Reivindicações no seu novo aplicativo SAML Entra ID para que o endereço de email do usuário seja usado como nome do usuário.

  1. No aplicativo empresarial, no menu à esquerda, selecione Sign-on único.
  2. Em Atributos e Solicitações, selecione Editar.
  3. Selecione a reivindicação necessária: 
    Unique User Identifier (Name ID) = user.mail [nameid-format:emailAddress]
  4. Na página Gerenciar reivindicação, altere o atributo Origem de user.userprinciplename para user.mail.

    Atributos e reivindicações do ID do Entra

  5. Selecione Salvar.

Configurações Adicionais do ID do Entra

No ID do Entra, você pode filtrar grupos com base no nome do grupo ou no atributo sAMAccountName.

Por exemplo, suponha que somente o grupo Administrators precise ser enviado usando o SAML:

  1. Selecione a reivindicação de grupo.
  2. Em Reivindicações de grupo, expanda Opções avançadas.
  3. Selecione Grupos de Filtros.
    • Para Atributo para correspondência, selecione Display Name.
    • Para Corresponder com, selecione contains.
    • Para String, forneça o nome do grupo, por exemplo, Administrators.

    Filtrar para grupos

Usando essa opção, mesmo que o usuário do grupo de administradores faça parte de outros grupos, o Entra ID só envia o grupo Administradores no SAML.
Observação

Isso ajuda as organizações a enviar somente os grupos necessários do Entra ID para o OCI IAM.
5. Adicionar um Usuário de Teste ao Aplicativo Entra ID

Crie um usuário de teste para seu aplicativo Entra ID. Posteriormente, esse usuário poderá usar suas credenciais de ID do Entra para acessar a Console do OCI.

  1. Na central de administração do Microsoft Entra, selecione Identidade, Usuários e, em seguida, Todos os usuários.
  2. Selecione Novo usuário e, em seguida, Criar novo usuário, e crie um usuário e informe seu ID de e-mail.
    Observação

    Use os detalhes de um usuário presente no OCI IAM com o mesmo ID de e-mail.
  3. Retornar ao menu do aplicativo empresarial. Em Introdução, selecione Atribuir usuários e grupos. Como alternativa, selecione Usuários em Gerenciar no menu à esquerda.
  4. Selecione Adicionar usuário/grupo e, na próxima página, em Usuários, selecione Nenhum Selecionado.
  5. Na página Usuários, selecione o usuário de teste que você criou. À medida que você o seleciona, o usuário é exibido em Itens selecionados. Selecione Selecionar.
  6. Na página Adicionar Atribuição, selecione Atribuir.
6. Ativar ID de Entra como IdP para o OCI IAM

Para essas etapas, você está trabalhando no OCI IAM.

Adicione o Entra ID como IdP para o OCI IAM. Nesta seção, você usa o arquivo de metadados Entra ID salvo em 3. Configure o Sign-On Único para o Aplicativo Corporativo Entra ID, por exemplo, Oracle IAM.xml.

  1. Na Console do OCI no domínio no qual você está trabalhando, selecione Segurança e Provedores de identidade.
  2. Selecione Adicionar IdP e, em seguida, Adicionar SAML IdP.
  3. Digite um nome para o IdP SAML, por exemplo, Entra ID. Selecione Próximo.
  4. Verifique se Importar metadados de provedor de identidade está selecionado e procure e selecione, ou arraste e solte o arquivo XML dos metadados de Entra ID, Oracle IAM.xml, em Metadados do provedor de identidade. Este é o arquivo de metadados que você salvou quando trabalhou por meio do 3. Configure o Sign-On Único para o Aplicativo Entra ID Enterprise. Selecione Próximo.
  5. Na identidade do usuário do Mapa, defina o seguinte
    • Em Formato NameID Solicitado, selecione Email address.
    • Em Atributo de usuário do provedor de identidades, selecione o ID SAML assertion Name.
    • Em Atributo do usuário do domínio de identidades, selecione Primary email address.

    Atributos do provedor de identidade SAML

  6. Selecione Próximo.
  7. Em Review and Create, verifique as configurações e selecione Create IdP.
  8. Selecione Ativar.
  9. Selecione Adicionar à Regra de Política IdP.

  10. Selecione Política do Provedor de Identidades Padrão para abri-la, selecione o menu Ações (três pontos) e selecione Editar regra IdP.

    O menu de contexto mostrando "Editar Regra de IdP"

  11. Selecione Designar provedores de identidade e, em seguida, selecione ID da Entrada para adicioná-lo à lista.

    adicionando o ID do Entra como provedor de identidades na regra IdP padrão

  12. Selecione Salvar Alterações.
7. Testar SSO entre Entra ID e OCI
Nesta seção, você pode testar se a autenticação federada funciona entre o OCI IAM e o Entra ID.
Observação

Para que isso funcione, o usuário usado para SSO deve estar presente no OCI IAM e no ID do Entra. Além disso, o usuário deve ser designado ao aplicativo IAM do OCI criado no Entra ID.

Você pode criar planilhas de duas formas:

Se você não tiver configurado usuários para testar este tutorial, verá o seguinte erro
Sorry, but we're having trouble signing you in.
AADSTS50105: Your administrator has configured 
the application application-name ('<unique_ID>')
to block users unless they are specifically granted
('assigned') access to the application.

Teste o SSO iniciado no SP.

  1. Abra um browser suportado e informe o URL de Console do OCI:

    https://cloud.oracle.com .

  2. Informe seu Nome da Conta do Nuvem, também conhecido como nome de sua tenancy, e selecione Próximo.
  3. Selecione o domínio de identidades no qual a federação de Entra ID foi configurada.
  4. Na página de acesso, você pode ver uma opção para acessar com o ID do Entra.

    Página de acesso do OCI IAM

  5. Selecione Entra ID. Você será redirecionado para a página de log-in da Microsoft.
  6. Forneça suas credenciais de Entra ID.
  7. Na autenticação bem-sucedida, você está conectado à Console do OCI.
O Que Vem a Seguir

Parabéns! Você configurou com sucesso o SSO entre o Entra ID e o OCI IAM.

Se você já teve um usuário criado no Entra ID e designado ao aplicativo, que foi provisionado para o OCI IAM, poderá testar se a autenticação da federação funciona entre o OCI IAM e o Entra ID. Se você não tiver um usuário como esse, poderá criar um seguindo um dos tutoriais do Identity Lifecycle Management Between OCI IAM and Entra ID.

Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: