Documentação do Oracle Cloud Infrastructure

Configurando a Federação de Identidades

Para configurar um provedor de identidades no Roving Edge, certifique-se de que você tenha seu arquivo de metadados e que os requisitos de certificado de CA tenham sido verificados. Adicione os mapeamentos de grupo necessários para ativar a autenticação de usuário federado.

Siga as instruções passo a passo nesta seção para gerenciar provedores de identidade e seus mapeamentos de grupo.

Gerenciando Provedores de Identidade

Adicionando o Active Directory como Provedor de Identidades

  1. Efetue sign-in na UI da Web do Serviço.

  2. Abra o menu de navegação e clique em Provedor de Identidades.

  3. Na página Provedores de Identidade, clique em Criar Provedor de Identidade.

  4. Na página Criar um Provedor de Identidades, forneça as seguintes informações:

    • Nome da exibição

      O nome que os usuários federados veem ao escolher qual provedor de identidades usar para acessar a IU da Web do Serviço. Esse nome deve ser exclusivo em todos os provedores de identidade e não pode ser alterado.

    • Descrição

      Uma descrição amigável do provedor de identidades.

    • Contextos de Autenticação

      Clique em Adicionar Referência de Classe e selecione um contexto de autenticação na lista.

      Quando um ou mais valores são especificados, o Roving Edge (a parte confiável), espera que o provedor de identidades use um dos mecanismos especificados de autenticação ao autenticar o usuário. A resposta SAML retornada do provedor de identidades deve conter uma instrução de autenticação com essa referência da classe do contexto da autenticação. Se o contexto da autenticação da resposta SAML não corresponder ao que é especificado aqui, o serviço da autenticação Roving Edge rejeitará a resposta SAML com 400.

    • Criptografar Asserção (Opcional)

      Quando ativado, o serviço de autorização espera asserções criptografadas do provedor de identidades. Somente o serviço de autorização pode decriptografar a asserção. Quando não habilitado, o serviço de autorização espera que os tokens SAML sejam descriptografados, mas protegidos, por SSL.

    • Forçar Autenticação (Opcional)

      Quando ativada, os usuários sempre são solicitados a se autenticar em seu provedor de identidades quando redirecionados pelo serviço de autorização. Quando essa opção não estiver ativada, os usuários não serão solicitados a se autenticar novamente se já tiverem uma sessão de log-in ativa com o provedor de identidades.

    • URL de Metadados

      Informe o URL do documento FederationMetadata.xml do provedor de identidades.

      Por padrão, o arquivo de metadados do ADFS está localizado em https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml.

  5. Clique em Criar Provedor de Identidades.

    Seu novo provedor de identidades recebe um OCID e é exibido na página Provedores de Identidades

Depois que o provedor de identidades for adicionado, você deverá configurar os mapeamentos de grupo entre o Roving Edge e o Active Directory. Consulte Gerenciando Mapeamentos de Grupo para um Provedor de Identidades.

Atualizando um Provedor de Identidades

  1. Abra o menu de navegação e clique em Provedores de Identidade.

    Uma lista dos provedores da identidade é exibida.

  2. Para o provedor de identidades que deseja atualizar, clique no ícone Ações (três pontos) e, em seguida, clique em Editar.

  3. Altere qualquer uma das seguintes informações. No entanto, esteja ciente de que a alteração dessas informações pode afetar a federação.

    • Descrição

    • Contextos de Autenticação

      Adicionar ou excluir uma referência de classe.

    • Asserção de Criptografia

      Ative ou desative asserções criptografadas do provedor de identidades.

    • Impor Autenticação

      Ative ou desative a autenticação de redirecionamento do provedor de identidades.

    • URL de Metadados

      Informe o URL de um novo documento FederationMetadata.xml do provedor de identidades.

  4. Clique em Atualizar Provedor de Identidades.

Exibindo Provedores de Identidades e Detalhes de Configuração

A página de detalhes do provedor de identidades exibe informações gerais, como contextos de autenticação. Ele também fornece as definições do provedor de identidades, que incluem o URL de redirecionamento. Nesta página, você também pode editar o provedor de identidades e gerenciar os mapeamentos de grupo.

  1. Abra o menu de navegação e clique em Provedores de Identidade.

    Uma lista dos provedores da identidade é exibida.

  2. Para o provedor de identidades cujos detalhes você deseja exibir, clique no ícone Ações (três pontos) e, em seguida, clique em Exibir Detalhes.

    A página de detalhes do provedor de identidades é exibida.

Excluindo um Provedor de Identidades

Se quiser remover a opção para que os usuários federados façam log-in no Roving Edge, você deverá excluir o provedor de identidades, que também exclui todos os mapeamentos de grupo associados.

  1. Abra o menu de navegação, clique em Identidade e, em seguida, em Federação.

    Uma lista dos provedores da identidade é exibida.

  2. Para o provedor de identidades que deseja excluir, clique no ícone Ações (três pontos) e, em seguida, clique em Excluir.

  3. No prompt Excluir Provedor de Identidades, clique em Confirmar.

Gerenciando Mapeamentos de Grupo para um Provedor de Identidades

Ao trabalhar com mapeamentos de grupo, lembre-se do seguinte:

  • Um determinado grupo do Active Directory é mapeado para um único grupo do Private Cloud Appliance.

  • Os nomes de grupos do Private Cloud Appliance não devem conter espaços e não podem ser alterados posteriormente. Os caracteres permitidos são letras, algarismos, hifens, pontos, sublinhados e sinais de adição (+).

  • Você não pode atualizar um mapeamento de grupo, mas pode excluir o mapeamento e adicionar um novo.

Importante

Para que os usuários federados possam acessar a IU da Web do Serviço, você deve fornecer a eles o URL. Certifique-se de ter configurado todos os mapeamentos de grupo obrigatórios; caso contrário, um usuário federado não poderá executar nenhuma operação no Private Cloud Appliance.

Criando um Mapeamento de Grupo

Execute as seguintes etapas para cada grupo de provedores de identidades que você deseja mapear:

  1. Abra o menu de navegação e clique em Mapeamentos de Grupo IDP.

    Uma lista dos mapeamentos do grupo de provedores de identidades é exibida.

  2. Clique em Criar Mapeamento de Grupo.

    O Formulário de Mapeamento do Grupo IDP é exibido

  3. No campo Nome, informe um nome para o mapeamento do grupo de IDP.

  4. No campo Nome do Grupo do IDP, informe o nome exato do grupo de provedores de identidades.

  5. Na lista Nome do Grupo de Administradores, selecione o grupo do Private Cloud Appliance que você deseja mapear para o grupo de provedores de identidades.

  6. Opcionalmente, informe uma Descrição do grupo.

  7. Clique em Criar Mapeamento do Grupo IDP.

    O novo mapeamento de grupo é exibido na lista.

Atualizando um Mapeamento de Grupo

  1. Abra o menu de navegação e clique em Mapeamentos de Grupo IDP.

    Uma lista dos mapeamentos do grupo de provedores de identidades é exibida.

  2. Para o mapeamento de grupo que deseja atualizar, clique no ícone Ações (três pontos) e, em seguida, clique em Editar.

    O Formulário de Mapeamento do Grupo IDP é exibido.

  3. Modifique qualquer um dos campos a seguir. No entanto, esteja ciente de que a alteração dessas informações pode afetar a federação.

    • Nome

    • Nome do Grupo IDP

    • Nome do Grupo de Administração

    • Descrição

  4. Clique em Modificar Mapeamento Grupo IDP.

    O mapeamento de grupo atualizado é exibido na lista.

Excluindo um Mapeamento de Grupo

  1. Abra o menu de navegação e clique em Mapeamentos de Grupo IDP.

    Uma lista dos mapeamentos do grupo de provedores de identidades é exibida.

  2. Para o mapeamento de grupo que você deseja excluir, clique no ícone Ações (três pontos) e, em seguida, clique em Excluir.

  3. No prompt Excluindo Mapeamento de Grupo IDP, clique em Confirmar.