Observação:

• Este tutorial requer acesso ao Oracle Cloud. Para se inscrever em uma conta gratuita, consulte Conceitos Básicos do Oracle Cloud Infrastructure Free Tier.
• Ele usa valores de exemplo para credenciais, tenancy e compartimentos do Oracle Cloud Infrastructure. Ao concluir seu laboratório, substitua esses valores por valores específicos do seu ambiente de nuvem.

Configurar o Sign-On Único e o Provisionamento de Usuário entre o OCI IAM e o JumpCloud

Introdução

Configurando o Sign-On Único (SSO) entre o OCI IAM (Oracle Cloud Infrastructure Identity and Access Management) e o JumpCloud, os administradores do OCI podem fazer log-in perfeitamente na Console do OCI usando suas credenciais JumpCloud. Além disso, com o provisionamento de usuários por meio de APIs RESTful, é possível obter sincronização de usuários em tempo real do JumpCloud para o OCI.

Este tutorial mostra como o OCI IAM pode ser integrado ao JumpCloud, configurando uma federação SAML (Security Assertion Markup Language) e uma conexão SCIM (System for Cross-domain Identity Management) 2.0.

Além disso, depois que o SSO é estabelecido e as identidades são sincronizadas, as políticas do OCI IAM podem ser definidas para configurar controles de acesso a vários recursos do OCI. Para obter mais informações, consulte Conceitos Básicos de Políticas e Aprofundamento nas Políticas do Oracle Cloud Infrastructure Identity and Access Management baseadas em Tag.

Observação: Este tutorial é específico do OCI IAM com domínios de identidades.

Objetivos

• Configure o SSO baseado em SAML para o gerenciamento de acesso.

• Configure o provisionamento do SCIM 2.0 para gerenciamento de identidades.

• Testar e validar.

Pré-requisitos

• Acesso a uma tenancy do OCI. Para obter mais informações, consulte Oracle Cloud Infrastructure Free Tier.

• Atribuição de administrador de domínio de identidades para o domínio de identidades do OCI IAM. Para obter mais informações, consulte Noções Básicas sobre Atribuições de Administrador.

• Uma organização JumpCloud.

• Função de administrador na organização JumpCloud.

Observação: Percebemos inconsistências nas ações de criação/atualização do usuário ao usar a oferta do OCI nas integrações JumpCloud. Portanto, para o propósito deste tutorial, vamos usar o aplicativo personalizado em vez disso.

Seção 1: Configurar SSO baseado em SAML para o Gerenciamento de Acesso

O JumpCloud atua como o Provedor de Identidades (IdP), autenticando usuários e transmitindo tokens de autenticação com segurança para o OCI IAM, que funciona como o Provedor de Serviços (SP). Para configurar a federação SAML, os metadados precisam ser trocados por ambas as partes.

Tarefa 1.1: Obter os Metadados do Provedor de Serviços do OCI IAM

Os metadados SP do domínio de identidades do OCI IAM são exportados primeiro.

1. Abra uma guia do browser e informe o URL: https://cloud.oracle.com.

2. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy e clique em Próximo.

3. Selecione o domínio de identidades que deseja acessar. Este é o domínio de identidades usado para configurar o SSO, por exemplo, Default.

4. Informe as credenciais de administrador para fazer log-in na Console do OCI.

5. Navegue até Identidade e Segurança e, em seguida, vá para Identidade e clique em Domínios.

   

6. Clique no nome do domínio de identidade. Se o domínio não estiver visível, altere o compartimento para localizar o domínio correto.

   

7. Clique em Segurança, Provedores de identidades e Exportar metadados SAML.

   

8. Selecione Arquivo de metadados. Em Metadados com certificados autoassinados, clique em Fazer Download de XML e salve esse arquivo XML localmente no computador, esses são os metadados SP.

   

Tarefa 1.2: Criar um Aplicativo SSO

O aplicativo SSO é criado no portal JumpCloud para representar a Console do OCI.

1. No browser, acesse o portal JumpCloud usando o URL: https://console.jumpcloud.com/login

2. Em AUTENTICAÇÃO DO USUÁRIO, selecione Aplicativos SSO e clique em Conceitos Básicos.

   

3. Em Aplicativo Personalizado, clique em Selecionar e, em seguida, em Próximo.

   

4. Selecione Gerenciar Sign-on Único (SSO) e Configurar SSO com SAML. Selecione Exportar usuários para este aplicativo (Gerenciamento de Identidades) e clique em Próximo.

   

5. Informe um nome em Label de Exibição (por exemplo, OCI Console) e clique em Salvar Aplicativo. Em seguida, clique em Configurar Aplicativo.

   

Tarefa 1.3: Configurar o Aplicativo SSO

A configuração do SSO é necessária no aplicativo personalizado recém-criado.

1. Na guia SSO, em Metadados do Provedor de Serviços, clique em Fazer Upload de Metadados e selecione o arquivo de metadados SP salvo na Tarefa 1.1.8.

   

2. Se o ID da Entidade do Ponto de Serviço e os URLs do ACS forem preenchidos automaticamente, o arquivo XML será analisado corretamente.

   Em JumpCloud Metadados, clique em Exportar Metadados e salve esse arquivo XML localmente no computador; esses são os metadados IdP. Quando terminar, clique em Salvar.

   

Tarefa 1.4: Ativar JumpCloud como IdP para o OCI IAM

É criado um novo IdP que representa JumpCloud. Uma vez concluída, a política IdP é configurada para ativar a autenticação SSO.

1. Na Console do OCI, navegue até o domínio, selecione Segurança e clique em Provedores de identidades.

2. Selecione Adicionar IdP e clique em Adicionar SAML IdP.

   

3. Digite um Nome (por exemplo, JumpCloud) para o SAML IdP e clique em Próximo.

   

4. Certifique-se de selecionar Importar metadados IdP. Em Fazer upload dos metadados do provedor de identidades, faça upload dos metadados IdP da Tarefa 1.3.2 e clique em Próximo.

   

5. Em Mapear identidade do usuário, especifique as seguintes informações e clique em Próximo.

   • Formato NameID solicitado: Selecione Nenhum.
   • Atributo do usuário do provedor de identidades: Selecione ID do Nome da asserção SAML.
   • Atributo de usuário do domínio de identidades: Selecione Nome de Usuário.

   

6. Em Revisar e Criar, verifique a configuração e clique em Criar IdP.

   

7. Clique em Ativar e, em seguida, em Adicionar à política IdP.

   

   Observação: pronta para uso, apenas uma política padrão IdP está presente em um domínio que não tem aplicativos associados a ela. Isso significa essencialmente que todos os aplicativos estão dentro do escopo dessa política, incluindo a Console do OCI. Se o domínio tiver políticas IdP personalizadas que direcionam aplicativos específicos separadamente, certifique-se de adicionar as regras conforme necessário para direcionar a Console do OCI. Tenha cuidado, pois qualquer configuração incorreta pode resultar em bloqueio.

8. Clique em Criar política IdP.

   

9. Em Adicionar política, digite Nome (por exemplo, OCI Console) e clique em Adicionar Política.

   

10. Em Adicionar regras do provedor de identidades, clique em Adicionar regra IdP e digite Nome da regra. Por exemplo, OCI Console access rule.

    Em Designar provedores de identidades, selecione Nome de Usuário-Senha e JumpCloud. Quando terminar, clique em Adicionar regra IdP e, em seguida, em Próximo.

    

    Observação: A opção Username-Password é adicionada para preservar a autenticação local. Isso evita um bloqueio caso haja problemas nas configurações da federação.

11. Clique em Adicionar aplicativo, pesquise e selecione Console do OCI na lista. Clique em Adicionar aplicativo e em Fechar.

    

Seção 2: Configurar Provisionamento do Usuário com base no SCIM 2.0

O gerenciamento do ciclo de vida do usuário é configurado entre JumpCloud e o OCI IAM, em que JumpCloud atua como armazenamento de identidades. Certifique-se de que todos os usuários destinados a provisionar downstream tenham valores apropriados preenchidos para os seguintes atributos:

• Nome
• Sobrenome
• E-mail da Empresa
• Nome para Exibição
• País Comercial
• Cidade do Trabalho (localidade)
• Estado de Trabalho (região)
• Endereço do Local de Trabalho
• Código Postal

Observação: O mapeamento de E-mail da Empresa para o nome de usuário garante a consistência no SAML Subject/NameID e é necessário para que o SSO funcione. Por exemplo:

<saml2:Subject><saml2:NameID Format="urn:oasis:names:tc:SAML:1.0:nameid-format:unspecified">XXX+test4@oracle.com</saml2:NameID> 

Tarefa 2.1: Criar um Aplicativo Confidencial no OCI IAM e Gerar Token Secreto

Um cliente OAuth 2.0 é registrado no OCI IAM. Fluxos apropriados são ativados e privilégios são concedidos. As credenciais deste cliente são coletadas.

1. Vá para a Console do OCI, navegue até Domínios e selecione o domínio que foi usado na Seção 1.

2. Vá para Aplicativos integrados, selecione Adicionar aplicativo, Aplicativo Confidencial e clique em Iniciar workflow.

   

3. Informe o Nome (por exemplo, SCIMclient) do aplicativo confidencial e clique em Próximo.

4. Na seção Configuração do cliente, selecione Configurar este aplicativo como cliente agora e, em Autorização, selecione Credenciais do Cliente.

   

5. Selecione Adicionar funções do aplicativo e clique em Adicionar funções. Na página Adicionar atribuições do aplicativo, selecione Administrador de Usuários e clique em Adicionar.

   

6. Clique em Próximo e em Concluir.

7. Clique em Ativar para ativar o novo aplicativo.

   

8. Na seção Informações Gerais, anote o ID do Cliente e o Segredo do cliente e selecione Mostrar segredo para revelar o texto sem formatação.

   

9. O token secreto é a codificação base64 de clientID e clientsecret.

   • Para o Windows, abra PowerShell e execute o comando a seguir para gerar a codificação base64.

     [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret')) 

   • Para MacOS, use o Terminal para executar o comando a seguir.

     echo -n <clientID>:<clientsecret> | base64 

     O token secreto é retornado. Por exemplo:

     echo -n 392357752xxxx7523923457437:3454-9853-7843-3554 | base64 Nk0NzUyMzxxxxxxxxxxxxxxxMzMtNTQzNC05ODc4LTUzNQ== 

   

10. Observe o token secreto.

Tarefa 2.2: Localizar o GUID do OCI IAM

Os detalhes do ponto final SCIM são exigidos pelo cliente para fazer chamadas de API.

1. Vá para a Console do OCI, navegue até Domínios e selecione o domínio que foi usado na Seção 1.

2. Selecione Copiar ao lado do URL do Domínio em Informações do domínio e anote isso. Ela deverá ter a seguinte aparência:

   https://<IdentityDomainID>.identity.oraclecloud.com:443 

3. Adicione /admin/v1 ao final do URL. O URL final deve ter esta aparência:

   https://<IdentityDomainID>.identity.oraclecloud.com:443/admin/v1 

4. Anote o URL.

Tarefa 2.3: Configurar o Gerenciamento de Identidades no Aplicativo JumpCloud

Vá para JumpCloud, o ponto final SCIM e as credenciais OAuth 2.0 são preenchidos.

1. Abra o aplicativo SSO criado na Tarefa 1.1.2 e vá para Gerenciamento de Identidades.

2. Especifique as seguintes informações e clique em Testar Conexão.

   • Tipo de API: Selecione API SCIM.
   • Versão do SCIM: Selecione SCIM 2.0.
   • URL Base: Informe o URL base da Tarefa 2.2.4.
   • Chave de Token: Informe o token secreto gerado na Tarefa 2.1.10.
   • Testar E-mail do Usuário: Informe um e-mail para um usuário no diretório JumpCloud.

   

   Observação: Se a conexão for bem-sucedida, a personalização do atributo do usuário SCIM ficará disponível. Os grupos são sincronizados com o OCI por padrão, mas isso pode ser alterado ativando DESATIVAR o Gerenciamento de Grupos.

3. Em Nome do Atributo SCIM, clique em + Adicionar atributo para criar os mapeamentos de atributo com base na imagem a seguir. Quando terminar, clique em Ativar.

   

4. Deve haver uma notificação sobre a conexão que está sendo verificada. Clique em Salvar.

   

Tarefa 2.4: Designar grupos ao aplicativo JumpCloud

Observação: Como pré-requisito, crie os grupos para administradores do OCI em JumpCloud antes de continuar.

Agora, os grupos que exigem acesso aos recursos Oracle estão alinhados para provisionamento.

1. Abra o aplicativo SSO e vá para a guia Grupos de Usuários.

2. Selecione os grupos que precisam ser provisionados no OCI e clique em Salvar.

   

Seção 3: Testar e Validar

Observação: para que o SSO funcione, a conta de usuário do SSO deve estar presente no OCI IAM e no JumpCloud.

Finalmente, as identidades sincronizadas são validadas e a autenticação federada é testada.

1. Abra um dos usuários em JumpCloud e na Console do OCI para validar se os detalhes correspondem.

   

   

2. Repita o mesmo processo para validar se os grupos estão sincronizados.

   

   

Observação: Agora que as identidades estão sincronizadas, validaremos o login SSO.

1. Em uma nova janela do browser, abra a Console do OCI. Informe o Nome da Conta do Cloud, também conhecido como nome da tenancy e clique em Próximo.

2. Selecione o domínio de identidades no qual a federação JumpCloud foi configurada.

3. Na página Oracle Cloud Account Sign In, selecione JumpCloud. Deve haver um redirecionamento para a página de log-in JumpCloud.

   

4. Informe as credenciais JumpCloud do usuário federado. Após a autenticação bem-sucedida, deve haver um redirecionamento de volta para a Console do OCI.

Conclusão

Essa integração elimina a necessidade de os administradores gerenciarem credenciais separadas do OCI, aprimorando a segurança e simplificando o gerenciamento de acesso. Isso também ajuda no gerenciamento de identidades, reduzindo a sobrecarga administrativa e eliminando a redundância.

Confirmações

• Autor - Tonmendu Bose (Engenheiro Sênior de Nuvem)

Mais Recursos de Aprendizagem

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal Oracle Learning YouTube. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

---

Título e Informações de Copyright

Set up Single Sign-On and User Provisioning between OCI IAM and JumpCloud

G33641-01

Copyright ©2025, Oracle and/or its affiliates.