Documentação do Oracle Cloud Infrastructure

SSO entre OCI e Microsoft Entra ID

Neste tutorial, configure o SSO entre o OCI IAM e o Microsoft Entra ID, usando o Entra ID como provedor de identidades (IdP).

Este tutorial de 30 minutos mostra como integrar o OCI IAM, atuando como provedor de serviços (SP), com o Entra ID, atuando como IdP. Ao configurar a federação entre o Entra ID e o OCI IAM, você permite o acesso dos usuários a serviços e aplicações no OCI usando credenciais de usuário autenticadas pelo Entra ID.

Este tutorial abrange a configuração do Entra ID como IdP para o OCI IAM.

  1. Primeiro, faça download dos metadados do domínio de identidades do OCI IAM.
  2. Nas próximas etapas, você criará e configurará um aplicativo no ID do Entra.
  3. No Entra ID, configure o SSO com o OCI IAM usando os metadados.
  4. Em Entra ID, edite os atributos e reivindicações para que o nome do e-mail seja usado como identificador para usuários.
  5. Em Entra ID, adicione um usuário ao aplicativo.
  6. Para as próximas etapas, você retorna ao seu domínio de identidades para concluir a configuração e o configuration.In OCI IAM, atualize a política IdP padrão para adicionar o Entra ID.
  7. Teste se a autenticação federada funciona entre o OCI IAM e o Entra ID.
Observação

Este tutorial é específico do serviço IAM com Domínios de Identidades.
Antes de Começar

Para executar este tutorial, você deve ter o seguinte:

Observação

O usuário usado para Sign-on Único (SSO) deve existir no OCI IAM e no Entra ID para que o SSO funcione. Depois de concluir este tutorial de SSO, há outro tutorial, Gerenciamento do Ciclo de Vida de Identidades entre o OCI IAM e o Entra ID. Este outro tutorial orienta você sobre como provisionar contas de usuário do Entra ID para o OCI IAM ou do OCI IAM para o Entra ID.
1. Obter os Metadados do Provedor de Serviços do OCI IAM

Você precisará dos metadados de SP do domínio de identidades do OCI IAM para importar para o aplicativo SAML Entra ID que você criou. O OCI IAM fornece um URL direto para fazer download dos metadados do domínio de identidades que você está usando. Para fazer download dos metadados, siga estas etapas.

  1. Abra um browser suportado e digite o URL da Console:

    https://cloud.oracle.com.

  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e selecione Próximo.
  3. Selecione o domínio de identidades que será acessado. Este é o domínio de identidades usado para configurar o SSO, por exemplo, Default.
  4. Entre com seu nome de usuário e senha.
  5. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios.
  6. Clique no nome do domínio de identidades no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Em seguida, clique em Definições e, em seguida, em Definições de domínio.
  7. Em Acessar certificado de assinatura, marque Configurar acesso do cliente.

    Isso permite que um cliente acesse a certificação de assinatura para o domínio de identidades sem acessar o domínio.

  8. Selecione Salvar alterações.

    Configurar acesso do cliente na página Definições do Domínio

  9. Retorne à visão geral do domínio de identidades selecionando o nome do domínio de identidades na trilha de navegação estrutural. Selecione Copiar ao lado do URL do Domínio nas informações do Domínio e salve o URL em um aplicativo no qual você possa editá-lo.

    As informações do domínio que mostram onde estão as informações de URL do Domínio.

  10. Em uma nova guia do browser, cole o URL copiado e adicione /fed/v1/metadata ao final.

    Por exemplo,

    https://idcs-<unique_ID>.identity.oraclecloud.com:443/fed/v1/metadata
  11. Os metadados do domínio de identidades são exibidos no browser. Salve-o como um arquivo XML com o nome OCIMetadata.xml.
2. Criar um Aplicativo Empresarial Entra ID

Para as próximas etapas, você está trabalhando em Entra ID.

Crie um aplicativo empresarial SAML no ID Entra.

  1. No browser, acesse o Microsoft Entra usando o URL:
    https://entra.microsoft.com
  2. Selecione Identidade e Aplicativos.
  3. Selecione Aplicações empresariais e, em seguida, Nova aplicação.
  4. Em Pesquisar aplicativos, digite Oracle Cloud Infrastructure Console.
  5. Selecione o mosaico Console do Oracle Cloud Infrastructure pela Oracle Corporation.
  6. Digite um nome para o aplicativo, por exemplo, Oracle IAM, e selecione Criar.

    O aplicativo empresarial é criado em Entra ID.

3. Configurar Sign-On Único para o Aplicativo Empresarial Entra ID

Configure o SSO para o aplicativo SAML Entra ID e faça download dos metadados SAML Entra ID. Nesta seção, você usa o arquivo de metadados do OCI IAM SP salvo em 1. Obter os Metadados do Provedor de Serviços do OCI IAM.

  1. Na página Conceitos Básicos, selecione Começar em Configurar o sign-on único.
  2. Selecione SAML e, em seguida, selecione Fazer upload do arquivo de metadados (botão na parte superior da página). Navegue até o arquivo XML que contém os metadados do domínio de identidades do OCI, OCIMetadata.xml.
  3. Forneça o URL de Acesso. Para 
    https://idcs-<domain_ID>.identity.oraclecloud.com/ui/v1/myconsole
  4. Selecione Salvar.
  5. Feche a página Fazer Upload do arquivo de metadados no X à direita. Se for perguntado se você deseja testar o aplicativo agora, escolha não, porque você vai testar o aplicativo mais tarde neste tutorial.
  6. Na página Configurar Sign-On Único com SAML, role a tela para baixo e, em Certificado de Assinatura SAML, selecione Download ao lado de XML dos Metadados da Federação.
  7. Quando solicitado, escolha Salvar Arquivo. Os metadados são salvos automaticamente com o nome de arquivo padrão <your_enterprise_app_name>.xml. Por exemplo, OracleIAM.xml.

    A página SSO baseada em SAML do Entra ID

4. Editar Atributos e Reivindicações

Edite os Atributos e Reivindicações no seu novo aplicativo SAML Entra ID para que o endereço de e-mail do usuário seja usado como o nome do usuário.

  1. No aplicativo empresarial, no menu à esquerda, selecione Sign-on único.
  2. Em Atributos e Reivindicações, selecione Editar.
  3. Selecione a reivindicação necessária: 
    Unique User Identifier (Name ID) = user.mail [nameid-format:emailAddress]
  4. Na página Gerenciar reivindicação, altere o atributo de Origem de user.userprinciplename para user.mail.

    Atributos e reivindicações do Entra ID

  5. Selecione Salvar.

Configurações Adicionais de ID de Entrada

Em Entra ID, você pode filtrar grupos com base no nome do grupo ou no atributo sAMAccountName.

Por exemplo, suponha que apenas o grupo Administrators precise ser enviado por meio do SAML:

  1. Selecione a reivindicação do grupo.
  2. Em Reivindicações de Grupo, expanda Opções avançadas.
  3. Selecione Grupos de Filtros.
    • Para Atributo a ser correspondido, selecione Display Name.
    • Para Corresponder com, selecione contains.
    • Para String, forneça o nome do grupo, por exemplo, Administrators.

    Filtro para grupos

Usando essa opção, mesmo que o usuário no grupo de administradores faça parte de outros grupos, o Entra ID só enviará o grupo Administradores no SAML.
Observação

Isso ajuda as organizações a enviar apenas os grupos necessários para o OCI IAM do Entra ID.
5. Adicionar um Usuário de Teste ao Aplicativo Entra ID

Crie um usuário de teste para seu aplicativo Entra ID. Mais tarde, esse usuário poderá usar suas credenciais Entra ID para acessar a Console do OCI.

  1. No centro de administração do Microsoft Entra, selecione Identidade, Usuários e Todos os usuários.
  2. Selecione Novo usuário, Criar novo usuário, crie um usuário e informe seu ID de e-mail.
    Observação

    Certifique-se de usar os detalhes de um usuário presente no OCI IAM com o mesmo id de e-mail.
  3. Retorne ao menu do aplicativo empresarial. Em Conceitos Básicos, selecione Designar usuários e grupos. Como alternativa, selecione Usuários em Gerenciar no menu à esquerda.
  4. Selecione Adicionar usuário/grupo e, na próxima página, em Usuários, selecione Nenhum Selecionado.
  5. Na página Usuários, selecione o usuário de teste criado. Quando você a seleciona, o usuário aparece em Itens selecionados. Selecione Selecionar.
  6. De volta à página Adicionar Designação, selecione Designar.
6. Ativar Entra ID como IdP para o OCI IAM

Para essas etapas, você está trabalhando no OCI IAM.

Adicione o Entra ID como um IdP para o OCI IAM. Nesta seção, você usa o arquivo de metadados Entra ID salvo em 3. Configure o Sign-On Único para o Aplicativo Empresarial Entra ID, por exemplo, Oracle IAM.xml.

  1. Na Console do OCI no domínio no qual você está trabalhando, selecione Segurança e Provedores de identidades.
  2. Selecione Adicionar IdP e, em seguida, selecione Adicionar IdP SAML.
  3. Digite um nome para o SAML IdP, por exemplo, Entra ID. Selecione Próximo.
  4. Certifique-se de que a opção Importar metadados do provedor de identidades esteja selecionada, procure e selecione, ou arraste e solte, o arquivo XML de metadados Entra ID, Oracle IAM.xml, em Metadados do provedor de identidades. Este é o arquivo de metadados que você salvou quando trabalhou por meio de 3. Configurar o Sign-On Único para o Aplicativo Empresarial Entra ID. Selecione Próximo.
  5. Na identidade do usuário do Mapa, defina o seguinte
    • Em Formato NameID solicitado, selecione Email address.
    • Em Atributo de usuário do provedor de identidades, selecione SAML assertion Name ID.
    • Em Atributo de usuário do domínio de identidades, selecione Primary email address.

    Atributos do provedor de identidades SAML

  6. Selecione Próximo.
  7. Em Revisar e Criar, verifique as configurações e selecione Criar IdP.
  8. Selecione Ativar.
  9. Selecione Adicionar à Regra de Política IdP.

  10. Selecione Política do Provedor de Identidades Padrão para abri-la, selecione o menu Ações (três pontos) e selecione Editar regra IdP.

    O menu de contexto mostrando "Editar Regra de IdP"

  11. Selecione Designar provedores de identidades e, em seguida, selecione Intra ID para adicioná-lo à lista.

    adicionando Entra ID como um provedor de identidades na regra IdP padrão

  12. Selecione Salvar Alterações.
7. Testar SSO entre Entra ID e OCI
Nesta seção, você pode testar se a autenticação federada funciona entre o OCI IAM e o Entra ID.
Observação

Para que isso funcione, o usuário usado para SSO deve estar presente no OCI IAM e no Entra ID. Além disso, o usuário deve ser designado ao aplicativo OCI IAM criado no Entra ID.

Você pode criar planilhas de duas formas:

Se você não configurou usuários para testar este tutorial, verá o erro a seguir
Sorry, but we're having trouble signing you in.
AADSTS50105: Your administrator has configured 
the application application-name ('<unique_ID>')
to block users unless they are specifically granted
('assigned') access to the application.

Teste o SSO iniciado pelo SP.

  1. Abra um browser compatível e digite o URL da Console do OCI:

    https://cloud.oracle.com.

  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e selecione Próximo.
  3. Selecione o domínio de identidades no qual a federação Entra ID foi configurada.
  4. Na página de acesso, você pode ver uma opção para acessar com o ID Entra.

    Página de acesso ao OCI IAM

  5. Selecione Entra ID. Você será redirecionado para a página de log-in da Microsoft.
  6. Forneça suas credenciais de Entra ID.
  7. Em uma autenticação bem-sucedida, você será conectado à Console do OCI.
O Que Vem a Seguir

Parabéns! Você configurou com sucesso o SSO entre o Entra ID e o OCI IAM.

Se você já tiver um usuário criado no Entra ID e designado ao aplicativo, que foi provisionado para o OCI IAM, poderá testar se a autenticação de federação funciona entre o OCI IAM e o Entra ID. Se você não tiver esse usuário, poderá criar um seguindo um dos tutoriais de Gerenciamento do Ciclo de Vida de Identidades entre o OCI IAM e o Entra ID.

Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: