Provisionnement des utilisateurs fédérés
Cette rubrique explique comment utiliser SCIM pour provisionner les utilisateurs fédérés dans Oracle Cloud Infrastructure. Les utilisateurs fédérés provisionnés peuvent disposer de clés d'API et d'autres informations d'identification propres à un service.
Présentation
SCIM (système de gestion des identités interdomaine) est un protocole standard IETF qui permet le provisionnement utilisateur sur des systèmes d'identité. Oracle Cloud Infrastructure héberge une adresse SCIM pour provisionner des utilisateurs fédérés dans Oracle Cloud Infrastructure. Si votre fournisseur d'identités est Oracle Identity Cloud Service ou Okta, vous pouvez configurer le provisionnement utilisateur SCIM.
Une fois que vous avez configuré l'intégration SCIM entre le fournisseur d'identités et Oracle Cloud Infrastructure, les utilisateurs qui appartiennent à des groupes mis en correspondance avec des groupes Oracle Cloud Infrastructure sont automatiquement provisionnés dans Oracle Cloud Infrastructure. Un OCID unique est affecté aux utilisateurs provisionnés, qui peuvent disposer de clés d'API et d'autres informations d'identification propres à un service.
Les fonctionnalités suivantes sont prises en charge pour les utilisateurs fédérés provisionnés :
- Un OCID unique est affecté aux utilisateurs provisionnés.
- Les utilisateurs provisionnés peuvent disposer de clés d'API, de jetons d'authentification et d'autres informations d'identification propres à un service.
- Vous pouvez répertorier les utilisateurs dans la console.
- Les utilisateurs provisionnés peuvent accéder à la page Paramètres d'utilisateur pour voir et gérer ces informations d'identification pour leur propre compte.
- Lorsque vous ajoutez des utilisateurs à des groupes mis en correspondance avec Oracle Cloud Infrastructure dans votre fournisseurs d'identités ou que vous en enlevez, les mises à jour sont automatiquement synchronisées avec Oracle Cloud Infrastructure
Présentation des types d'utilisateur
La configuration SCIM introduit le concept d'utilisateur provisionné ou synchronisé. Les descriptions suivantes fournissent des détails afin de vous aider à comprendre les types d'utilisateur que vous allez gérer.
-
Utilisateurs fédérés
Un utilisateur fédéré est créé et géré dans un fournisseur d'identités. Les utilisateurs fédérés peuvent se connecter à la console à l'aide d'un mot de passe géré dans leur fournisseur d'identités. Un accès à Oracle Cloud Infrastructure leur est octroyé en fonction de leur appartenance aux groupes mis en correspondance avec les groupes Oracle Cloud Infrastructure.
-
Utilisateurs provisionnés (ou synchronisés)
Un utilisateur synchronisé est systématiquement provisionné par le fournisseur d'identités dans Oracle Cloud Infrastructure. Ils peuvent disposer d'informations d'identification Oracle Cloud Infrastructure, mais pas de mot de passe de console. Lorsque vous répertoriez les utilisateurs dans la console, vous pouvez identifier les utilisateurs synchronisés à l'aide du filtre Type d'utilisateur.
-
Utilisateurs locaux
Un utilisateur local est un utilisateur créé et géré dans le service IAM d'Oracle Cloud Infrastructure. Les locations fédérées comportent en général peu d'utilisateurs locaux, lorsqu'elles en ont. Lorsque vous répertoriez les utilisateurs dans la console, vous pouvez identifier les utilisateurs locaux à l'aide du filtre Type d'utilisateur.
L'illustration suivante récapitule les caractéristiques des types d'utilisateur :
Personne en charge de la configuration de l'intégration
Configurez cette intégration si votre fournisseur d'identités est Oracle Identity Cloud Service ou Okta, et que vos utilisateurs fédérés doivent disposer des informations d'identification spéciales requises par certains services et certaines fonctionnalités. Par exemple, si vous avez besoin que les utilisateurs fédérés accèdent à Oracle Cloud Infrastructure via le kit SDK ou l'interface de ligne de commande, la configuration de cette intégration leur permet d'obtenir les clés d'API nécessaires pour cela.
Prérequis
Exécutez cette configuration de synchronisation après avoir configuré une fédération entre votre fournisseur d'identités et Oracle Cloud Infrastructure. Reportez-vous à Fournisseurs d'identités pris en charge.
Activation du provisionnement des utilisateurs
Instructions pour les fédérations Oracle Identity Cloud Service
Si votre fournisseur d'identités est Oracle Identity Cloud Service, vous devez effectuer une mise à niveau ponctuelle.
Si votre location a été créée le 21 décembre 2018 ou après, elle est automatiquement configurée pour provisionner vos utilisateurs Oracle Identity Cloud Service dans Oracle Cloud Infrastructure. Vous n'avez pas besoin d'effectuer les étapes de cette rubrique. Pour plus d'informations sur la gestion des utilisateurs fédérés, reportez-vous àPrésentation des types d'utilisateur et à Gestion des fonctionnalités utilisateur pour les utilisateurs fédérés.
Si votre fédération avec Oracle Identity Cloud Service a été configurée avant le 21 décembre 2018, effectuez cette tâche de mise à niveau ponctuelle.
Pour mettre à niveau votre fédération Oracle Identity Cloud Service, procédez comme suit :
-
Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Fédération.
La liste des fournisseurs d'identités de votre location s'affiche.
- Cliquez sur votre fédération Identity Cloud Service pour en visualiser les détails. Si votre location a été fédérée automatiquement, elle est répertoriée en tant qu'OracleIdentityCloudService.
- Cliquez sur Modifier la correspondance.
-
Lorsque vous y êtes invité, fournissez l'ID client et la clé secrète client pour l'application Oracle Identity Cloud Service, puis cliquez sur Continuer.
Emplacement de l'ID client et de la clé secrète clientL'ID client et la clé secrète client sont stockés dans Oracle Identity Cloud Service. Pour obtenir ces informations, procédez comme suit :
-
- Connectez-vous à la console Oracle Identity Cloud Service.
- Dans la console Identity Cloud Service, cliquez sur Applications. La liste des applications sécurisées s'affiche.
- Cliquez sur COMPUTEBAREMETAL.
- Cliquez sur Configuration.
-
Développez Informations générales. L'ID client est affiché. Cliquez sur Afficher la clé secrète pour afficher la clé secrète client.
-
Patientez plusieurs minutes le temps que les modifications soient appliquées.
Instructions pour les fédérations Okta
Si vous n'avez pas de fédération existante avec Okta, suivez les instructions du livre blanc Oracle Cloud Infrastructure - Configuration d'Okta pour la fédération et le provisionnement. Ce document comprend des instructions pour la configuration de la fédération et du provisionnement avec SCIM.
Si vous disposez d'une fédération existante avec Okta avec des correspondances de groupes que vous souhaitez conserver, vous pouvez ajouter le provisionnement SCIM comme suit :
- Dans Okta, supprimez l'application SAML existante que vous avez initialement configurée pour la fédération avec Oracle Cloud Infrastructure.
-
Configurez une nouvelle application SAML dans Okta conformément aux instructions du livre blanc Oracle Cloud Infrastructure - Configuration d'Okta pour la fédération et le provisionnement, avec les exceptions suivantes :
- Ignorez les étapes permettant d'ajouter un fournisseur d'identités à Oracle Cloud Infrastructure (vous disposez déjà de cette ressource dans Oracle Cloud Infrastructure).
- Cliquez plutôt sur Modifier le fournisseur d'identités et téléchargez le nouveau document metadata.xml à partir de l'application Okta que vous avez créée.
- Ensuite, dans Oracle Cloud Infrastructure, veillez à réinitialiser les informations d'identification. Ajoutez le nouvel ID et la nouvelle clé secrète client à la page des paramètres d'intégration d'API dans Okta (étape 7 dans le livre blanc).
Conséquences de la mise à niveau
Une fois que le système a eu le temps de se synchroniser, vous pouvez gérer les fonctionnalités des utilisateurs fédérés dans la console. Les utilisateurs appartenant à un groupe mis en correspondance avec un groupe dans Oracle Cloud Infrastructure sont répertoriés sur la page Utilisateurs de la console. Chaque fois que vous ajoutez de nouveaux utilisateurs à des groupes mis en correspondance dans Oracle Identity Cloud Service, ils sont disponibles dans la console après la synchronisation du système.
Par défaut, les fonctionnalités utilisateur suivantes sont activées :
- Clés d'API
- Jetons d'authentification
- Informations d'identification SMTP
- Clés secrètes client
Vous ne pouvez pas activer un mot de passe local. Le mot de passe de la console Oracle Cloud Infrastructure est toujours géré uniquement dans le fournisseur d'identités.
Pour plus d'informations sur les fonctionnalités utilisateur, reportez-vous à Gestion des fonctionnalités utilisateur pour les utilisateurs fédérés.
Réinitialisation des informations d'identification
Utilisez le bouton Réinitialiser les informations d'identification pour réinitialiser vos informations d'identification client SCIM. Vous pouvez effectuer cette tâche de façon régulière en tant que mesure de sécurité afin de réaliser la rotation des informations d'identification. Après avoir réinitialisé ces informations d'identification, vous devez mettre à jour l'application SAML dans votre fournisseur d'identités avec les nouvelles informations d'identification.
Remarque : si votre fournisseur d'identités est Oracle Identity Cloud Service, Oracle Cloud Infrastructure réinitialise automatiquement les informations d'identification avec Oracle Identity Cloud Service. Il n'est pas nécessaire de réinitialiser la configuration manuellement.
Actions à réaliser dans votre fournisseur d'identités
Une fois l'intégration configurée, continuez à effectuer les actions suivantes dans votre fournisseur d'identités :
-
Créer des utilisateurs et les affecter à des groupes
-
Supprimer des utilisateurs
Les utilisateurs que vous supprimez de votre fournisseur d'identités sont enlevés d'Oracle Cloud Infrastructure à la fin du prochain cycle de synchronisation.
- Interroger sur l'appartenance à un groupe
- Gérer les mots de passe de connexion des utilisateurs