Documentação do Oracle Cloud Infrastructure

SSO entre o OCI e o ID Entra da Microsoft

Neste tutorial, configure o SSO entre o OCI IAM e o ID do Microsoft Entra, usando o ID do Entra como provedor de identidades (IdP).

Este tutorial de 30 minutos mostra como integrar o OCI IAM, atuando como provedor de serviços (SP), com o Entra ID, atuando como IdP. Ao configurar a federação entre o ID Entra e o OCI IAM, você ativa o acesso dos usuários a serviços e aplicativos no OCI usando credenciais de usuário autenticadas pelo ID Entra.

Este tutorial abrange a configuração de Entra ID como IdP para o OCI IAM.

  1. Primeiro, faça download dos metadados do domínio de identidades do OCI IAM.
  2. Nas próximas etapas, você criará e configurará um aplicativo no ID do Entra.
  3. Em Entra ID, configure o SSO com o OCI IAM usando os metadados.
  4. Em Entra ID, edite os atributos e reivindicações para que o nome do e-mail seja usado como identificador para usuários.
  5. Em Entra ID, adicione um usuário ao aplicativo.
  6. Para as próximas etapas, retorne ao seu domínio de identidades para concluir a configuração e atualize o configuration.In OCI IAM, a política IdP padrão para adicionar o ID de Entra.
  7. Teste se a autenticação federada funciona entre o OCI IAM e o ID Entra.
Observação

Este tutorial é específico do serviço IAM com Domínios de Identidades.
Antes de Começar

Para executar este tutorial, você deve ter o seguinte:

Observação

O usuário usado para Sign-on Único (SSO) deve existir no OCI IAM e no ID de Entrada para que o SSO funcione. Depois de concluir este tutorial de SSO, há outro tutorial, Gerenciamento do Ciclo de Vida de Identidades entre o OCI IAM e o Entra ID. Este outro tutorial orienta você sobre como provisionar contas de usuário do ID Entra para o OCI IAM ou do OCI IAM para o ID Entra.
1. Obter os Metadados do Provedor de Serviços do OCI IAM

Você precisará dos metadados do SP do domínio de identidades do OCI IAM para importar para o aplicativo SAML Entra ID que você criará. O OCI IAM fornece um URL direto para fazer download dos metadados do domínio de identidades que você está usando. Para fazer download dos metadados, siga estas etapas.

  1. Abra um browser suportado e digite o URL da Console:

    https://cloud.oracle.com.

  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy e clique em Próximo.
  3. Selecione o domínio de identidades que será acessado. Este é o domínio de identidades usado para configurar o SSO, por exemplo, Default.
  4. Entre com seu nome de usuário e senha.
  5. Abra o menu de navegaçãoe clique em Segurança de Identidade. Em Identidade, clique em Domínios.
  6. Clique no nome do domínio de identidades no qual você deseja trabalhar. Talvez você precise alterar o compartimento para localizar o domínio desejado. Em seguida, clique em Definições e, em seguida, em Definições de domínio.
  7. Em Acessar certificado de assinatura, marque Configurar acesso do cliente.

    Isso permite que um cliente acesse a certificação de assinatura para o domínio de identidades sem acessar o domínio.

  8. Clique em Salvar alterações.

    Configurar acesso do cliente na página Definições do Domínio

  9. Retorne à visão geral do domínio de identidades clicando no nome do domínio de identidades na trilha de navegação. Clique em Copiar ao lado do URL do Domínio nas informações do Domínio e salve o URL em um aplicativo no qual você possa editá-lo.

    As informações do domínio que mostram onde estão as informações de URL do Domínio.

  10. Em uma nova guia do browser, cole o URL copiado e adicione /fed/v1/metadata ao final.

    Por exemplo,

    https://idcs-<unique_ID>.identity.oraclecloud.com:443/fed/v1/metadata
  11. Os metadados do domínio de identidades são exibidos no browser. Salve-o como um arquivo XML com o nome OCIMetadata.xml.
2. Criar um Aplicativo Empresarial Entra ID

Para as próximas etapas, você está trabalhando em Entra ID.

Crie um aplicativo empresarial SAML no ID Entra.

  1. No browser, acesse o Microsoft Entra usando o URL:
    https://entra.microsoft.com
  2. Clique em Identidade e em Aplicativos.
  3. Clique em Aplicativos empresariais e, em seguida, em Novo aplicativo.
  4. Em Pesquisar aplicativos, digite Oracle Cloud Infrastructure Console.
  5. Clique no mosaico Oracle Cloud Infrastructure Console by Oracle Corporation.
  6. Digite um nome para o aplicativo, por exemplo, Oracle IAM, e clique em Criar.

    O aplicativo empresarial é criado em Entra ID.

3. Configurar Sign-On Único para o Aplicativo Empresarial Entra ID

Configure o SSO para o aplicativo SAML do ID do Entra e faça download dos metadados SAML do ID do Entra. Nesta seção, você usa o arquivo de metadados do SP do OCI IAM salvo em 1. Obter os Metadados do Provedor de Serviços do OCI IAM.

  1. Na página Conceitos Básicos, clique em Começar em Configurar o sign-on único.
  2. Clique em SAML e, em seguida, clique em Fazer upload do arquivo de metadados (botão na parte superior da página). Navegue até o arquivo XML que contém os metadados do domínio de identidades do OCI, OCIMetadata.xml.
  3. Forneça o URL de Acesso. Para 
    https://idcs-<domain_ID>.identity.oraclecloud.com/ui/v1/myconsole
  4. Clique em Salvar.
  5. Feche a página Fazer Upload do arquivo de metadados no X à direita. Se for perguntado se você deseja testar o aplicativo agora, escolha não, porque você vai testar o aplicativo mais tarde neste tutorial.
  6. Na página Configurar Sign-On Único com SAML, role a tela para baixo e, em Certificado de Assinatura SAML, clique em Fazer Download ao lado de XML dos Metadados da Federação.
  7. Quando solicitado, escolha Salvar Arquivo. Os metadados são salvos automaticamente com o nome de arquivo padrão <your_enterprise_app_name>.xml. Por exemplo, OracleIAM.xml.

    A página SSO baseada em SAML do ID Entra

4. Editar Atributos e Reivindicações

Edite os Atributos e Reivindicações no seu novo aplicativo SAML Entra ID para que o endereço de e-mail do usuário seja usado como o nome do usuário.

  1. No aplicativo empresarial, no menu à esquerda, clique em Sign-on único.
  2. Em Atributos e Reivindicações, clique em Editar.
  3. Clique na reivindicação obrigatória: 
    Unique User Identifier (Name ID) = user.mail [nameid-format:emailAddress]
  4. Na página Gerenciar reivindicação, altere o atributo de Origem de user.userprinciplename para user.mail.

    Atributos e reivindicações de ID exclusivo

  5. Clique em Salvar.

Configurações Adicionais de ID de Entrada

Em Entra ID, você pode filtrar grupos com base no nome do grupo ou no atributo sAMAccountName.

Por exemplo, suponha que apenas o grupo Administrators precise ser enviado por meio do SAML:

  1. Clique na reivindicação de grupo.
  2. Em Reivindicações de Grupo, expanda Opções avançadas.
  3. Selecione Grupos de Filtros.
    • Para Atributo a ser correspondido, selecione Display Name.
    • Para Corresponder com, selecione contains.
    • Para String, forneça o nome do grupo, por exemplo, Administrators.

    Filtro para grupos

Usando essa opção, mesmo que o usuário no grupo de administradores faça parte de outros grupos, o Entra ID só enviará o grupo Administradores no SAML.
Observação

Isso ajuda as organizações a enviar apenas os grupos necessários para o OCI IAM do ID Inteiro.
5. Adicionar um Usuário de Teste ao Aplicativo Entra ID

Crie um usuário de teste para seu aplicativo Entra ID. Posteriormente, esse usuário poderá usar suas credenciais de ID Total para acessar a Console do OCI.

  1. No centro de administração do Microsoft Entra, clique em Identidade, em Usuários e em Todos os usuários.
  2. Clique em Novo usuário, Criar novo usuário, crie um usuário e informe seu ID de e-mail.
    Observação

    Certifique-se de usar os detalhes de um usuário presente no OCI IAM com o mesmo id de e-mail.
  3. Retorne ao menu do aplicativo empresarial. Em Conceitos Básicos, clique em Designar usuários e grupos. Se preferir, clique em Usuários em Gerenciar no menu à esquerda.
  4. Selecione Add user/group e, na próxima página em Users, clique em None Selected.
  5. Na página Usuários, clique no usuário de teste criado. Quando você a seleciona, o usuário aparece em Itens selecionados. Clique em Selecionar.
  6. De volta à página Adicionar Designação, clique em Designar.
6. Ativar Entra ID como IdP para o OCI IAM

Para essas etapas, você está trabalhando no OCI IAM.

Adicione Entra ID como um IdP para o OCI IAM. Nesta seção, você usa o arquivo de metadados Entra ID salvo em 3. Configure o Sign-On Único para o Aplicativo Empresarial Entra ID, por exemplo, Oracle IAM.xml.

  1. Na Console do OCI no domínio no qual você está trabalhando, clique em Segurança e, em seguida, em Provedores de identidades.
  2. Clique em Adicionar IdP e, em seguida, clique em Adicionar IdP SAML.
  3. Digite um nome para o SAML IdP, por exemplo, Entra ID. Clique em Próximo.
  4. Certifique-se de que a opção Importar metadados do provedor de identidades esteja selecionada, procure e selecione, ou arraste e solte, o arquivo XML de metadados do ID Total, Oracle IAM.xml, em Metadados do provedor de identidades. Este é o arquivo de metadados que você salvou quando trabalhou por meio de 3. Configurar o Sign-On Único para o Aplicativo Empresarial Entra ID. Clique em Próximo.
  5. Na identidade do usuário do Mapa, defina o seguinte
    • Em Formato NameID solicitado, selecione Email address.
    • Em Atributo de usuário do provedor de identidades, selecione SAML assertion Name ID.
    • Em Atributo de usuário do domínio de identidades, selecione Primary email address.

    Atributos do provedor de identidades SAML

  6. Clique em Próximo.
  7. Em Review and Create, verifique as configurações e clique em Create IdP.
  8. Clique em Ativar.
  9. Clique em Adicionar à Regra de Política IdP.

  10. Clique em Política do Provedor de Identidades Padrão para abri-la, clique no menu Ações (Menu Ações) e clique em Editar regra IdP.

    O menu de contexto mostrando "Editar Regra de IdP"

  11. Clique em Designar provedores de identidades e, em seguida, clique em ID da Entrada para adicioná-lo à lista.

    adicionando Entra ID como um provedor de identidades na regra IdP padrão

  12. Clique em Salvar Alterações.
7. Testar SSO entre Entra ID e OCI
Nesta seção, você pode testar se a autenticação federada funciona entre o OCI IAM e o ID Entra.
Observação

Para que isso funcione, o usuário usado para SSO deve estar presente no OCI IAM e no ID de Entrada. Além disso, o usuário deve ser designado ao aplicativo OCI IAM criado no ID Entra.

Você pode criar planilhas de duas formas:

Se você não configurou usuários para testar este tutorial, verá o erro a seguir
Sorry, but we're having trouble signing you in.
AADSTS50105: Your administrator has configured 
the application application-name ('<unique_ID>')
to block users unless they are specifically granted
('assigned') access to the application.

Teste o SSO iniciado pelo SP.

  1. Abra um browser compatível e digite o URL da Console do OCI:

    https://cloud.oracle.com.

  2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy, e clique em Próximo.
  3. Selecione o domínio de identidades no qual a federação Entra ID foi configurada.
  4. Na página de acesso, você pode ver uma opção para acessar com o ID Entra.

    Página de acesso ao OCI IAM

  5. Selecione Entra ID. Você será redirecionado para a página de log-in da Microsoft.
  6. Forneça suas credenciais de Entra ID.
  7. Em uma autenticação bem-sucedida, você será conectado à Console do OCI.
O Que Vem a Seguir

Parabéns! Você configurou com sucesso o SSO entre o ID Entra e o OCI IAM.

Se você já tiver um usuário criado no ID Entra e designado ao aplicativo, que foi provisionado para o OCI IAM, poderá testar se a autenticação de federação funciona entre o OCI IAM e o ID Entra. Se você não tiver esse usuário, poderá criá-lo seguindo um dos tutoriais de Gerenciamento do Ciclo de Vida de Identidades entre o OCI IAM e o ID de Entrada.

Para explorar mais informações sobre desenvolvimento com produtos Oracle, confira estes sites: