Ativando o Relacionamento Confiável da Federação

Coletando Metadados ADFS Obrigatórios

A federação de identidades requer as seguintes informações do provedor de identidades:

• O documento de metadados SAML do ADFS (Active Directory Federation Services)

  Seu local padrão é: https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml.

• Os nomes dos grupos do Active Directory (AD) que você deseja mapear para grupos do Private Cloud Appliance

  Anote todos os grupos do AD que precisam de mapeamento.

  Cuidado
  
  

  Certifique-se de que todos os grupos do Private Cloud Appliance tenham sido configurados antes de adicionar o AD como um provedor de identidades.

Verificando Certificados do Provedor de Identidades

A Autoridade de Certificação (CA) do Private Cloud Appliance se baseia nos certificados x.509 raiz e intermediários gerados por OpenSSL. Esses certificados de CA são usados para emitir certificados de servidor/cliente x.509, permitindo que você adicione informações confiáveis de CA externas ao appliance. Se você usar um certificado autoassinado para ADFS, precisará adicionar informações de confiança de CA externas do ADFS aos nós de gerenciamento.

Para adicionar informações confiáveis de CA externas, proceda da seguinte forma:

1. Faça download do documento de metadados SAML para seu ADFS, que está disponível por padrão em:

   https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml

2. Abra o arquivo em um editor de texto ou XML e localize a seção de certificado de assinatura. Por exemplo:

   <KeyDescriptor use="signing">
   <KeyInfo>
   <X509Data>
   <X509Certificate>
   <!--CERTIFICATE IS HERE-->
   </X509Certificate>
   </X509Data>
   </KeyInfo>
   </KeyDescriptor>

3. Faça log-on no nó de gerenciamento 1 (pcamn01).

4. Navegue até /etc/pca3.0/vault e crie um novo diretório chamado customer_ca.

   Observação
   
   

   Você pode usar esse diretório para vários arquivos. Por exemplo, você pode criar um arquivo para o certificado do provedor de identidades e um para a cadeia de certificados do servidor Web.

5. No diretório customer_ca, crie um novo arquivo no formato PEM.

6. Copie o certificado do arquivo FederationMetadata.xml, que está localizado na tag <X509Certificate>, e cole no novo arquivo PEM. Certifique-se de incluir o -----BEGIN CERTIFICATE----- e o -----END CERTIFICATE-----, por exemplo:

   -----BEGIN CERTIFICATE-----
   <CERTIFICATE CONTENT>
   -----END CERTIFICATE-----

7. Guardar o arquivo e fechar.

8. Execute o seguinte comando para atualizar o ca_outside_bundle.crt em todos os nós de gerenciamento:

   python3 /usr/lib/python3.11/site-packages/pca_foundation/secret_service/cert_generator/cert_generator_app.py -copy_to_mns

Adicionando o Private Cloud Appliance como uma Parte Confiável no ADFS

Para concluir o processo de federação, você deve adicionar o Private Cloud Appliance como uma parte confiável no Microsoft Active Directory Federation Services (ADFS) e, em seguida, adicionar regras de reivindicação da parte confiável associada.

Adicionando uma Parte Confiável no ADFS

1. Na UI da Web do Serviço na página Provedores de Identidade, exiba o seguinte bloco de texto:

   Você precisa do documento de Metadados do Private Cloud Appliance Federation ao configurar uma confiança com o Microsoft Active Directory Federation Services ou com outros provedores de identidade compatíveis ao SAML 2.0. Este é um documento XML que descreve as informações de ponto final e certificado do Private Cloud Appliance. Clique Aqui

2. Clique em "Clique aqui".

   Um arquivo XML de metadados é aberto no navegador com um URL semelhante a:

   https://adminconsole.system-name.domain-name/wsapi/rest/saml/metadata/

3. Copie o URL do arquivo XML de metadados.

4. No sistema instalado com o ADFS, abra uma janela de navegador e cole o URL.

5. Salve o arquivo, certifique-se de usar a extensão .xml, por exemplo, my-sp-metadata.xml.

6. Vá para a Console de Gerenciamento do AD FS e acesse a conta que deseja federar.

7. Adicione o Private Cloud Appliance como uma parte confiável.

   1. Em AD FS, clique com o botão direito em Relying Party Trusts e selecione Add Relying Party Trust.

   2. Na página de Boas-vindas do Assistente de Confiança de Parte Confiável, selecione Reivindicações Reconhecidas e clique em Iniciar.

   3. Na página Selecionar Origem de Dados, selecione "Importar dados sobre a parte confiável de um arquivo".

   4. Clique em Procurar e navegue até o my-sp-metadata.xml e, em seguida, clique em Abrir.

   5. Na página Especificar Nome de Exibição, informe um nome de exibição, adicione observações opcionais para a parte confiável e clique em Próximo.

   6. Na página Escolher Política de Controle de Acesso, selecione o tipo de acesso que deseja conceder e clique em Avançar.

   7. Na página Pronto para Adicionar Confiança, revise as configurações e clique em Próximo para salvar as informações de confiança da parte confiável.

   8. Na página Finalizar, marque "Configurar política de emissão de reivindicações para este aplicativo" e clique em Fechar.

      A caixa de diálogo Editar Política de Emissão de Reivindicação é exibida, que você pode deixar aberta para o próximo procedimento.

Adicionando Regras de Solicitação de Parte Confiável

Depois de adicionar o Private Cloud Appliance como parte confiável, adicione regras de reivindicação para que os elementos necessários (ID do Nome e grupos) sejam adicionados à resposta de autenticação SAML.

Para adicionar uma regra de ID de nome, siga este procedimento:

1. Na caixa de diálogo Editar Política de Emissão de Reivindicação, clique em Adicionar Regra.

   A caixa de diálogo Selecionar Modelo de Regra é exibida.

2. Para o modelo de regra Reivindicação, selecione Transformar uma Reivindicação de Entrada e clique em Próximo.

3. Informe o seguinte:

   • Nome da regra da reivindicação: Informe um nome para esta regra, por exemplo, nameid.

   • Tipo de reivindicação de entrada: Selecione um nome de conta Microsoft Windows.

   • Tipo de reivindicação de saída: Selecione um tipo de reivindicação, por exemplo, ID do Nome.

   • Formato do ID do nome de saída: Selecione o Identificador Persistente.

   • Selecione Passar todos os valores de reivindicação e clique em Concluir.

     A regra é exibida na lista de regras.

A caixa de diálogo Regras de Transformação de Emissão exibe a nova regra.

Se os usuários do seu Active Directory não estiverem em mais de 100 grupos, você simplesmente adicionará a regra de grupos. No entanto, se os usuários do Active Directory estiverem em mais de 100 grupos, esses usuários não poderão ser autenticados para usar a UI do Service Web. Para esses grupos, você deve aplicar um filtro à regra de grupos.

Para adicionar a regra de grupos, proceda da seguinte forma:

1. Na caixa de diálogo Issuance Transform Rules, clique em Add Rule.

   A caixa de diálogo Selecionar Modelo de Regra é exibida.

2. Para o modelo de regra de Reivindicação, selecione Enviar Reivindicações Usando uma Regra Personalizada e clique em Próximo.

3. No Assistente Adicionar Regra de Reivindicação de Transformação, informe o seguinte:

   • Nome da regra do pedido de indenização: Informe grupos.

   • Regra personalizada: Informe a regra personalizada.

     c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

   • Clique em Concluir.

   A caixa de diálogo Regras de Transformação de Emissão exibe a nova regra.

Desativando a Verificação de Revogação do Certificado

Para que o ADFS funcione com SAML, desative a verificação da Lista de Revogação de Certificado (CRL). Abra o Powershell no sistema ADFS e informe o seguinte comando, em que TRUST_NAME é o nome do trust da parte confiável:

Get-AdfsRelyingPartyTrust -Name '<TRUST_NAME>' | Set-AdfsRelyingPartyTrust -EncryptionCertificateRevocationCheck None -SigningCertificateRevocationCheck None