SSO entre o OCI e o ID Entra da Microsoft
Neste tutorial, configure o SSO entre o OCI IAM e o ID do Microsoft Entra, usando o ID do Entra como provedor de identidades (IdP).
Este tutorial de 30 minutos mostra como integrar o OCI IAM, atuando como provedor de serviços (SP), com o Entra ID, atuando como IdP. Ao configurar a federação entre o ID Entra e o OCI IAM, você ativa o acesso dos usuários a serviços e aplicativos no OCI usando credenciais de usuário autenticadas pelo ID Entra.
Este tutorial abrange a configuração de Entra ID como IdP para o OCI IAM.
- Primeiro, faça download dos metadados do domínio de identidades do OCI IAM.
- Nas próximas etapas, você criará e configurará um aplicativo no ID do Entra.
- Em Entra ID, configure o SSO com o OCI IAM usando os metadados.
- Em Entra ID, edite os atributos e reivindicações para que o nome do e-mail seja usado como identificador para usuários.
- Em Entra ID, adicione um usuário ao aplicativo.
- Para as próximas etapas, retorne ao seu domínio de identidades para concluir a configuração e atualize o configuration.In OCI IAM, a política IdP padrão para adicionar o ID de Entra.
- Teste se a autenticação federada funciona entre o OCI IAM e o ID Entra.
Este tutorial é específico do serviço IAM com Domínios de Identidades.
Para executar este tutorial, você deve ter o seguinte:
-
Uma conta do Oracle Cloud Infrastructure (OCI) paga ou uma conta de avaliação do OCI. Consulte Oracle Cloud Infrastructure Free Tier.
- Atribuição de administrador de domínio de identidades para o domínio de identidades do OCI IAM. Consulte Noções Básicas sobre Atribuições de Administrador.
- Uma conta Entra ID com uma das seguintes funções Entra ID:
- Administrador Global
- Administrador de Aplicativo em Nuvem
- Administrador de Aplicativo
O usuário usado para Sign-on Único (SSO) deve existir no OCI IAM e no ID de Entrada para que o SSO funcione. Depois de concluir este tutorial de SSO, há outro tutorial, Gerenciamento do Ciclo de Vida de Identidades entre o OCI IAM e o Entra ID. Este outro tutorial orienta você sobre como provisionar contas de usuário do ID Entra para o OCI IAM ou do OCI IAM para o ID Entra.
Você precisará dos metadados do SP do domínio de identidades do OCI IAM para importar para o aplicativo SAML Entra ID que você criará. O OCI IAM fornece um URL direto para fazer download dos metadados do domínio de identidades que você está usando. Para fazer download dos metadados, siga estas etapas.
-
Abra um browser suportado e digite o URL da Console:
- Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy e clique em Próximo.
- Selecione o domínio de identidades que será acessado. Este é o domínio de identidades usado para configurar o SSO, por exemplo,
Default
. - Entre com seu nome de usuário e senha.
- Abra o menu de navegaçãoe clique em Segurança de Identidade. Em Identidade, clique em Domínios.
- Clique no nome do domínio de identidades no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Em seguida, clique em Definições e, em seguida, em Definições de domínio.
- Em Acessar certificado de assinatura, marque Configurar acesso do cliente.
Isso permite que um cliente acesse a certificação de assinatura para o domínio de identidades sem acessar o domínio.
- Clique em Salvar alterações.
- Retorne à visão geral do domínio de identidades clicando no nome do domínio de identidades na trilha de navegação. Clique em Copiar ao lado do URL do Domínio nas informações do Domínio e salve o URL em um aplicativo no qual você possa editá-lo.
- Em uma nova guia do browser, cole o URL copiado e adicione
/fed/v1/metadata
ao final.Por exemplo,
https://idcs-<unique_ID>.identity.oraclecloud.com:443/fed/v1/metadata
- Os metadados do domínio de identidades são exibidos no browser. Salve-o como um arquivo XML com o nome
OCIMetadata.xml
.
Para as próximas etapas, você está trabalhando em Entra ID.
Crie um aplicativo empresarial SAML no ID Entra.
- No browser, acesse o Microsoft Entra usando o URL:
https://entra.microsoft.com
- Clique em Identidade e em Aplicativos.
- Clique em Aplicativos empresariais e, em seguida, em Novo aplicativo.
- Em Pesquisar aplicativos, digite
Oracle Cloud Infrastructure Console
. - Clique no mosaico Oracle Cloud Infrastructure Console by Oracle Corporation.
- Digite um nome para o aplicativo, por exemplo,
Oracle IAM
, e clique em Criar.O aplicativo empresarial é criado em Entra ID.
Configure o SSO para o aplicativo SAML do ID do Entra e faça download dos metadados SAML do ID do Entra. Nesta seção, você usa o arquivo de metadados do SP do OCI IAM salvo em 1. Obter os Metadados do Provedor de Serviços do OCI IAM.
- Na página Conceitos Básicos, clique em Começar em Configurar o sign-on único.
- Clique em SAML e, em seguida, clique em Fazer upload do arquivo de metadados (botão na parte superior da página). Navegue até o arquivo XML que contém os metadados do domínio de identidades do OCI,
OCIMetadata.xml
. - Forneça o URL de Acesso. Para
https://idcs-<domain_ID>.identity.oraclecloud.com/ui/v1/myconsole
- Clique em Salvar.
- Feche a página Fazer Upload do arquivo de metadados no X à direita. Se for perguntado se você deseja testar o aplicativo agora, escolha não, porque você vai testar o aplicativo mais tarde neste tutorial.
- Na página Configurar Sign-On Único com SAML, role a tela para baixo e, em Certificado de Assinatura SAML, clique em Fazer Download ao lado de XML dos Metadados da Federação.
- Quando solicitado, escolha Salvar Arquivo. Os metadados são salvos automaticamente com o nome de arquivo padrão
<your_enterprise_app_name>.xml
. Por exemplo,OracleIAM.xml
.
Edite os Atributos e Reivindicações no seu novo aplicativo SAML Entra ID para que o endereço de e-mail do usuário seja usado como o nome do usuário.
- No aplicativo empresarial, no menu à esquerda, clique em Sign-on único.
- Em Atributos e Reivindicações, clique em Editar.
- Clique na reivindicação obrigatória:
Unique User Identifier (Name ID) = user.mail [nameid-format:emailAddress]
- Na página Gerenciar reivindicação, altere o atributo de Origem de
user.userprinciplename
parauser.mail
. - Clique em Salvar.
Configurações Adicionais de ID de Entrada
Em Entra ID, você pode filtrar grupos com base no nome do grupo ou no atributo sAMAccountName
.
Por exemplo, suponha que apenas o grupo Administrators
precise ser enviado por meio do SAML:
- Clique na reivindicação de grupo.
- Em Reivindicações de Grupo, expanda Opções avançadas.
- Selecione Grupos de Filtros.
- Para Atributo a ser correspondido, selecione
Display Name
. - Para Corresponder com, selecione
contains
. - Para String, forneça o nome do grupo, por exemplo,
Administrators
.
- Para Atributo a ser correspondido, selecione
Isso ajuda as organizações a enviar apenas os grupos necessários para o OCI IAM do ID Inteiro.
Crie um usuário de teste para seu aplicativo Entra ID. Posteriormente, esse usuário poderá usar suas credenciais de ID Total para acessar a Console do OCI.
- No centro de administração do Microsoft Entra, clique em Identidade, em Usuários e em Todos os usuários.
- Clique em Novo usuário, Criar novo usuário, crie um usuário e informe seu ID de e-mail.Observação
Certifique-se de usar os detalhes de um usuário presente no OCI IAM com o mesmo id de e-mail. - Retorne ao menu do aplicativo empresarial. Em Conceitos Básicos, clique em Designar usuários e grupos. Se preferir, clique em Usuários em Gerenciar no menu à esquerda.
- Selecione Add user/group e, na próxima página em Users, clique em None Selected.
- Na página Usuários, clique no usuário de teste criado. Quando você a seleciona, o usuário aparece em Itens selecionados. Clique em Selecionar.
- De volta à página Adicionar Designação, clique em Designar.
Para essas etapas, você está trabalhando no OCI IAM.
Adicione Entra ID como um IdP para o OCI IAM. Nesta seção, você usa o arquivo de metadados Entra ID salvo em 3. Configure o Sign-On Único para o Aplicativo Empresarial Entra ID, por exemplo, Oracle IAM.xml
.
- Na Console do OCI no domínio no qual você está trabalhando, clique em Segurança e, em seguida, em Provedores de identidades.
- Clique em Adicionar IdP e, em seguida, clique em Adicionar IdP SAML.
- Digite um nome para o SAML IdP, por exemplo,
Entra ID
. Clique em Próximo. - Certifique-se de que a opção Importar metadados do provedor de identidades esteja selecionada, procure e selecione, ou arraste e solte, o arquivo XML de metadados do ID Total,
Oracle IAM.xml
, em Metadados do provedor de identidades. Este é o arquivo de metadados que você salvou quando trabalhou por meio de 3. Configurar o Sign-On Único para o Aplicativo Empresarial Entra ID. Clique em Próximo. - Na identidade do usuário do Mapa, defina o seguinte
- Em Formato NameID solicitado, selecione
Email address
. - Em Atributo de usuário do provedor de identidades, selecione
SAML assertion Name
ID. - Em Atributo de usuário do domínio de identidades, selecione
Primary email address
.
- Em Formato NameID solicitado, selecione
- Clique em Próximo.
- Em Review and Create, verifique as configurações e clique em Create IdP.
- Clique em Ativar.
- Clique em Adicionar à Regra de Política IdP.
-
Clique em Política do Provedor de Identidades Padrão para abri-la, clique no menu e clique em Editar regra IdP.
-
Clique em Designar provedores de identidades e, em seguida, clique em ID da Entrada para adicioná-lo à lista.
- Clique em Salvar Alterações.
Para que isso funcione, o usuário usado para SSO deve estar presente no OCI IAM e no ID de Entrada. Além disso, o usuário deve ser designado ao aplicativo OCI IAM criado no ID Entra.
Você pode criar planilhas de duas formas:
- Você pode criar manualmente um usuário de teste no OCI IAM e no ID Entra.
- No entanto, se quiser testar com um usuário em tempo real, configure o provisionamento entre o ID Entra e o OCI IAM seguindo as etapas do tutorial, Gerenciamento do Ciclo de Vida de Identidades entre o OCI IAM e o ID Entra.
Sorry, but we're having trouble signing you in.
AADSTS50105: Your administrator has configured
the application application-name ('<unique_ID>')
to block users unless they are specifically granted
('assigned') access to the application.
Teste o SSO iniciado pelo SP.
-
Abra um browser compatível e digite o URL da Console do OCI:
- Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
- Selecione o domínio de identidades no qual a federação Entra ID foi configurada.
- Na página de acesso, você pode ver uma opção para acessar com o ID Entra.
- Selecione Entra ID. Você será redirecionado para a página de log-in da Microsoft.
- Forneça suas credenciais de Entra ID.
- Em uma autenticação bem-sucedida, você será conectado à Console do OCI.
Parabéns! Você configurou com sucesso o SSO entre o ID Entra e o OCI IAM.
Se você já tiver um usuário criado no ID Entra e designado ao aplicativo, que foi provisionado para o OCI IAM, poderá testar se a autenticação de federação funciona entre o OCI IAM e o ID Entra. Se você não tiver esse usuário, poderá criá-lo seguindo um dos tutoriais de Gerenciamento do Ciclo de Vida de Identidades entre o OCI IAM e o ID de Entrada.
Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: