Fédération avec les fournisseurs d'identités

Les sociétés utilisent généralement un fournisseur d'identités pour gérer les noms de connexion/mots de passe et pour authentifier les utilisateurs afin de leur permettre d'accéder à des ressources, à des services et à des sites Web sécurisés.

Si une personne de votre société souhaite utiliser des ressources Oracle Cloud Infrastructure dans la console, elle doit se connecter avec un nom de connexion et un mot de passe utilisateur. Les administrateurs peuvent effectuer une fédération avec un fournisseur d'identités pris en charge de sorte que chaque employé puisse utiliser un nom de connexion et un mot de passe existants, sans avoir à créer un ensemble pour utiliser les ressources Oracle Cloud Infrastructure.

Afin d'effectuer la fédération, l'administrateur passe par un processus court permettant de configurer une relation entre le fournisseur d'identités et Oracle Cloud Infrastructure (généralement appelée approbation de fédération). Une fois la relation configurée par l'administrateur, les personnes de votre société qui accèdent à la console Oracle Cloud Infrastructure sont invitées à se connecter par le biais de l'accès avec connexion unique fourni par le fournisseur d'identités. L'utilisateur se connecte avec le nom de connexion/mot de passe déjà configurés auprès du fournisseur d'identités. Le fournisseur d'identités authentifie l'utilisateur et celui-ci peut alors accéder à Oracle Cloud Infrastructure.

Lorsque vous collaborez avec le fournisseur d'identités, l'administrateur définit des groupes. Il affecte ensuite chacun des utilisateurs aux groupes en fonction du type d'accès dont ils ont besoin. Oracle Cloud Infrastructure utilise également le concept de groupes (conjointement avec les stratégies IAM) pour définir le type d'accès dont dispose un utilisateur. Dans le cadre de la configuration de la relation avec le fournisseur d'identités, l'administrateur peut mettre en correspondance chaque groupe d'un fournisseur d'identités avec un groupe IAM défini de façon similaire, de sorte que votre société puisse réutiliser les définitions de groupe du fournisseur d'identités lors de l'autorisation de l'accès aux ressources Oracle Cloud Infrastructure pour les utilisateurs. La capture d'écran suivante illustre le processus de mise en correspondance :

Pour plus d'informations sur le nombre de fédérations et de correspondances de groupes dont vous pouvez disposer, reportez-vous à Limites de service. Le nombre d'utilisateurs fédérés n'est pas limité.

Voici la liste des concepts de base que vous devez maîtriser.

IDP

IdP est la forme courte de fournisseur d'identités, un service qui fournit des informations d'identification et un moyen d'authentification pour les utilisateurs.

Les locations créées après le 18 décembre 2017 sont automatiquement fédérées avec Oracle Identity Cloud Service en tant que fournisseur d'identités. Oracle Cloud Infrastructure peut être fédéré avec n'importe quel fournisseur d'identités prenant en charge le protocole SAML (Security Assertion Markup Language) 2.0.

Fournisseur de services

Service (par exemple, une application, un site Web, etc.) qui appelle un fournisseur d'identités pour authentifier les utilisateurs. Dans ce cas, Oracle Cloud Infrastructure est le fournisseur de services.

Approbation de fédération

Relation qu'un administrateur configure entre un fournisseur d'identités et un fournisseur de services. Vous pouvez utiliser l'API ou la console Oracle Cloud Infrastructure pour configurer cette relation. Ensuite, le fournisseur d'identités spécifique est "fédéré" à ce fournisseur de services. Dans la console et l'API, le processus de fédération est considéré comme l'ajout d'un fournisseur d'identités à la location.

Document de métadonnées SAML

Document XML fourni par le fournisseur d'identités. Il spécifie les informations requises à un fournisseur de services afin d'effectuer la fédération avec le fournisseur d'identités. Oracle Cloud Infrastructure prend en charge le protocole SAML 2.0, qui est une norme XML permettant de partager les informations requises entre le fournisseur d'identités et le fournisseur de services. Selon le fournisseur d'identités avec lequel vous effectuez la fédération, vous devez fournir l'URL de métadonnées (voir ci-dessous) de ce document ou télécharger le document vers Oracle Cloud Infrastructure.

URL de métadonnées

URL fournie par le fournisseur d'identités. Elle permet à un fournisseur de services d'obtenir les informations requises pour effectuer la fédération avec ce fournisseur d'identités. Oracle Cloud Infrastructure prend en charge le protocole SAML 2.0, qui est une norme XML permettant de partager les informations requises entre le fournisseur d'identités et le fournisseur de services. L'URL de métadonnées pointe vers le document de métadonnées SAML dont le fournisseur de services a besoin.

Utilisateur fédéré

Utilisateur qui se connecte pour utiliser la console Oracle Cloud Infrastructure au moyen d'un fournisseur d'identités fédéré.

Utilisateur local

Utilisateur non fédéré. En d'autres termes, une personne qui se connecte pour utiliser la console Oracle Cloud Infrastructure avec un nom de connexion et un mot de passe créés dans Oracle Cloud Infrastructure.

Mise en correspondance de groupes

Mise en correspondance d'un groupe d'un fournisseur d'identités avec un groupe Oracle Cloud Infrastructure, utilisée à des fins d'autorisation utilisateur.

SCIM

SCIM (système de gestion des identités interdomaine) est un protocole standard IETF qui permet le provisionnement utilisateur sur des systèmes d'identité. Oracle Cloud Infrastructure héberge une adresse SCIM pour provisionner des utilisateurs fédérés dans Oracle Cloud Infrastructure. L'utilisation d'un client SCIM pour provisionner les utilisateurs dans Oracle Cloud Infrastructure vous permet d'affecter des informations d'identification aux utilisateurs dans Oracle Cloud Infrastructure.

Utilisateur provisionné (ou synchronisé)

Utilisateur provisionné par le client SCIM du fournisseur d'identités dans Oracle Cloud Infrastructure. Ces utilisateurs peuvent être répertoriés dans la console Oracle Cloud Infrastructure et disposer de toutes les informations d'identification utilisateur Oracle Cloud Infrastructure, à l'exception d'un mot de passe de console.

Cryptage de l'assertion

Certains fournisseurs d'identités prennent en charge le cryptage de l'assertion SAML. Lorsque cette option est activée, le fournisseur de services s'attend à ce que l'assertion SAML soit cryptée à l'aide de sa clé de cryptage par le fournisseur d'identités. Dans ce cas, le fournisseur de services est le service d'authentification Oracle Cloud Infrastructure. Si vous choisissez d'activer cette fonctionnalité de votre fournisseur d'identités, vous devez également l'activer lorsque vous configurez le fournisseur de fédération dans le service IAM. Microsoft AD FS active le cryptage de l'assertion SAML par défaut. Si votre fournisseur d'identités est Microsoft AD FS, vous devez activer cette fonctionnalité dans IAM ou la désactiver pour Microsoft AD FS.

Les utilisateurs fédérés peuvent utiliser la console pour accéder à Oracle Cloud Infrastructure (en fonction des stratégies IAM pour les groupes dans lesquels se trouvent les utilisateurs).

Ils sont invités à saisir leur locataire Oracle Cloud Infrastructure (par exemple, ABCCorp).

Une page apparaît alors avec deux ensembles d'instructions de connexion : un pour les utilisateurs fédérés et un pour les utilisateurs non fédérés (Oracle Cloud Infrastructure). Reportez-vous à la capture d'écran suivante.

Le nom du locataire est affiché à gauche. Directement en dessous se trouve la zone de connexion pour les utilisateurs fédérés. A droite figure la zone de connexion des utilisateurs non fédérés.

Les utilisateurs fédérés choisissent le fournisseur d'identités à utiliser pour la connexion, puis sont redirigés vers l'expérience de connexion de celui-ci pour l'authentification. Une fois leur nom de connexion et leur mot de passe saisis, ils sont authentifiés par le fournisseur d'identités et redirigés vers la console Oracle Cloud Infrastructure.

Les utilisateurs fédérés (sans configuration SCIM) ne peuvent pas accéder à la page Paramètres d'utilisateur de la console. Cette page permet à un utilisateur de modifier ou de réinitialiser son mot de passe de console, et de gérer d'autres informations d'identification Oracle Cloud Infrastructure telles que les clés de signature d'API et les jetons d'authentification.

Pour ajouter et gérer des fournisseurs d'identités dans votre location, vous devez y être autorisé par une stratégie IAM. Si vous appartenez au groupe d'administrateurs, vous disposez de l'accès requis.

Voici une stratégie plus limitée qui restreint l'accès aux ressources associées aux fournisseurs d'identités et aux correspondances de groupes uniquement :

Allow group IdPAdmins to manage identity-providers in tenancy

Allow group IdPAdmins to manage groups in tenancy

Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes. Si vous souhaitez en savoir plus sur l'écriture de stratégies pour les groupes ou d'autres composants IAM, reportez-vous à Détails relatifs à IAM sans domaine d'identité.

Pour obtenir des instructions sur la fédération avec d'autres fournisseurs d'identités, reportez-vous aux rubriques suivantes :

Fédération avec Microsoft Active Directory

Fédération avec Microsoft Azure Active Directory

Oracle Cloud Infrastructure - Configuration d'Okta pour la fédération et le provisionnement (livre blanc)

Fédération avec les fournisseurs d'identités SAML 2.0