Fédération avec les fournisseurs d'identités SAML 2.0

1. Accédez à la console et connectez-vous à l'aide de votre nom de connexion et de votre mot de passe Oracle Cloud Infrastructure.
2. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.
3. Cliquez sur Ajouter un fournisseur d'identités.

4. Entrez les informations suivantes :

   1. Nom : nom unique de l'approbation de fédération. Il s'agit du nom que les utilisateurs fédérés voient lorsqu'ils choisissent le fournisseur d'identités à utiliser pour se connecter à la console. Choisissez donc un nom convivial et intuitif que vos utilisateurs comprendront. Le nom doit être unique pour tous les fournisseurs d'identités que vous ajoutez à la location. Vous ne pouvez pas modifier cet élément ultérieurement.
   2. Description : description conviviale.
   3. Type : sélectionnez Microsoft Active Directory Federation Service (ADFS) ou fournisseur d'identités compatible SAML 2.0.
   4. XML : téléchargez vers le serveur le document metadata.xml que vous avez téléchargé en local à partir de votre fournisseur d'identités.
   5. Crypter l'assertion : le fait de cocher cette case indique au service IAM d'attendre le cryptage fourni par IdP. Si vous cochez cette case, vous devez également configurer le cryptage de l'assertion dans votre IdP. Pour plus d'informations, reportez-vous à Cryptage de l'assertion sous Concepts généraux. Reportez-vous également à la documentation de votre fournisseur d'identités.
   6. Forcer l'authentification : option sélectionnée par défaut. Lorsque cette option est sélectionnée, les utilisateurs doivent indiquer leurs informations d'identification au fournisseur d'identités (réauthentification), même lorsqu'ils sont déjà connectés à une autre session.
   7. Références de classe du contexte d'authentification : ce champ est requis pour les clients Government Cloud. Lorsque des valeurs sont spécifiées, Oracle Cloud Infrastructure (la partie de confiance) s'attend à ce que le fournisseur d'identités utilise l'un des mécanismes d'authentification indiqués lors de l'authentification de l'utilisateur. La réponse SAML renvoyée par le fournisseur d'identités doit contenir une instruction d'authentification avec cette référence de classe du contexte d'authentification. Si le contexte d'authentification de la réponse SAML ne correspond pas à ce qui est indiqué ici, le service d'authentification Oracle Cloud Infrastructure rejette la réponse SAML avec une erreur 400. Plusieurs références de classe du contexte d'authentification courantes sont répertoriées dans le menu. Pour utiliser une autre classe de contexte, sélectionnez Personnalisé et entrez manuellement la référence de classe.
   8. Si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.
5. Cliquez sur Continuer.

6. Configurez les correspondances entre les groupes du fournisseur d'identités et les groupes IAM dans Oracle Cloud Infrastructure. Un groupe d'un fournisseur d'identités donné peut être mis en correspondance avec aucun groupe, un groupe ou plusieurs groupes IAM, et inversement. Cependant, chaque correspondance individuelle se fait uniquement entre un seul groupe d'un fournisseur d'identités et un seul groupe IAM. Les modifications apportées aux correspondances de groupes sont généralement prises en compte au bout de quelques secondes dans votre région d'origine, mais leur propagation vers toutes les régions peut prendre plusieurs minutes.

   Remarque
   
   

   Si vous ne souhaitez pas configurer les correspondances de groupes maintenant, vous pouvez simplement cliquer sur Créer et revenir ultérieurement pour les ajouter.

   Pour créer une correspondance de groupes, procédez comme suit :

   1. Sous Groupe de fournisseur d'identités, entrez le nom du groupe dans votre fournisseur d'identités. Vous devez entrer le nom exact en respectant la casse.

      Choisissez le groupe IAM avec lequel mettre en correspondance ce groupe dans la liste sous Groupe OCI.

      Conseil
      
      Exigences pour le nom du groupe IAM : aucun espace. Caractères autorisés : lettres, chiffres, traits d'union, points, traits de soulignement et signes plus (+). Le nom ne peut pas être modifié ultérieurement.
   2. Répétez les sous-étapes ci-dessus pour chaque correspondance à créer, puis cliquez sur Créer.

Le fournisseur d'identités est alors ajouté à votre location et apparaît dans la liste sur la page Fédération. Cliquez sur le fournisseur d'identités pour visualiser ses détails et les correspondances de groupes que vous venez de configurer.

Oracle affecte un ID unique appelé OCID (Oracle Cloud ID) au fournisseur d'identités et à chaque correspondance de groupes. Pour plus d'informations, reportez-vous à Identificateurs de ressource.

A l'avenir, accédez à la page Fédération si vous souhaitez modifier ou ajouter des correspondances de groupes, ou supprimer le fournisseur d'identités de votre location.