Documentation Oracle Cloud Infrastructure

Gestion d'un fournisseur d'identités SAML

Utilisez la console pour ajouter un fournisseur d'identités SAML 2.0 (IdP) à un domaine d'identité afin que les utilisateurs authentifiés à partir de IdP puissent accéder aux ressources et aux applications cloud. Oracle Cloud Infrastructure

Termes communs

Fournisseur d'identités (IdP)

Un élément IdP est un service qui fournit des informations d'identification et une authentification aux utilisateurs.

Fournisseur de services

Service (par exemple, une application, un site Web, etc.) qui appelle un fournisseur d'identités pour authentifier les utilisateurs.

Pour créer une instance SAML 2.0 IdP, procédez comme suit :

Configuration du provisionnement JIT SAML

Vous pouvez configurer le provisionnement JIT SAML à l'aide de l'adresse d'API REST de la console ou de /admin/v1/IdentityProviders. Reportez-vous aux références suivantes pour configurer le provisionnement JIT SAML :

Ajout d'un fournisseur d'identités SAML

Saisie des détails SAML d'un fournisseur d'identité.

  1. Accédez au domaine d'identité : ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
  2. Cliquez sur le nom du domaine d'identité dans lequel vous souhaitez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Sécurité, puis sur Fournisseurs d'identités.
  3. Cliquez sur Ajouter un fournisseur d'identités, puis sur Ajouter un fournisseur d'identités SAML.
  4. Saisissez les informations suivantes:
    • Nom : entrez le nom de IdP.
    • (Facultatif) Description : saisissez la description de IdP.
    • (Facultatif) Icône de fournisseur d'identités : glissez-déplacez une image prise en charge ou cliquez sur sélectionner une pour rechercher l'image.
  5. Cliquez sur Suivant.
  6. Sur l'écran Echange de métadonnées, cliquez sur le bouton Exporter les métadonnées SAML pour envoyer les métadonnées SAML au fournisseur d'identités. Effectuez l'une des opérations suivantes :
    • Importer des métadonnées IdP : sélectionnez cette option si un fichier XML est exporté à partir de IdP. Glissez-déplacez le fichier XML pour télécharger les métadonnées ou cliquez sur sélectionner un fichier pour rechercher le fichier de métadonnées.
    • Entrer les métadonnées IdP : sélectionnez cette option si vous voulez entrer manuellement les métadonnées IdP. Indiquez les informations suivantes:
      • URI d'émetteur du fournisseur d'identités
      • URI de service SSO
      • Liaison de service SSO
      • Télécharger le certificat de signature du fournisseur d'identités
      • Activer la déconnexion globale
    • Importer l'URL IdP : entrez l'URL de vos métadonnées IdP.
  7. Cliquez sur Afficher les options avancées pour sélectionner les éléments suivants :
    • L'algorithme de hachage de la signature : sélectionnez SHA-256 ou SHA-1
    • Exiger une assertion cryptée : indique que l'autorisation de domaine d'identité attend une assertion cryptée à partir de IdP.
    • Forcer l'authentification : sélectionnez cette option pour demander aux utilisateurs de s'authentifier auprès de IdP, même si la session est toujours valide.
    • Contexte d'authentification demandé : sélectionnez les références de classe du contenu d'authentification.
    • Confirmation de l'objet Holder-of-Key requise : disponible après le téléchargement d'un fichier de métadonnées valide pris en charge par Holder-of-Key (HOK).
    • Envoyer un certificat de signature avec un message SAML : sélectionnez cette option pour inclure le certificat de signature du domaine d'identité avec les messages SAML envoyés par votre domaine d'identité. Certains fournisseurs SAML requièrent le certificat de signature pour rechercher la configuration du partenaire SAML.
  8. Cliquez sur Suivant.
  9. Sur l'écran Echange de métadonnées, cliquez sur le bouton Exporter les métadonnées SAML pour envoyer les métadonnées SAML au fournisseur d'identités. Effectuez l'une des opérations suivantes :
    • Importer des métadonnées IdP : sélectionnez cette option si un fichier XML est exporté à partir de IdP. Glissez-déplacez le fichier XML pour télécharger les métadonnées ou cliquez sur sélectionner un fichier pour rechercher le fichier de métadonnées.
    • Entrer les métadonnées IdP : sélectionnez cette option si vous voulez entrer manuellement les métadonnées IdP. Indiquez les informations suivantes:
      • URI d'émetteur du fournisseur d'identités
      • URI de service SSO
      • Liaison de service SSO
      • Télécharger le certificat de signature du fournisseur d'identités
      • Activer la déconnexion globale
    • Importer l'URL IdP : entrez l'URL de vos métadonnées IdP.
  10. Cliquez sur Afficher les options avancées pour sélectionner les éléments suivants :
    • L'algorithme de hachage de la signature : sélectionnez SHA-256 ou SHA-1
    • Exiger une assertion cryptée : indique que l'autorisation de domaine d'identité attend une assertion cryptée à partir de IdP.
    • Forcer l'authentification : sélectionnez cette option pour demander aux utilisateurs de s'authentifier auprès de IdP, même si la session est toujours valide.
    • Contexte d'authentification demandé : sélectionnez les références de classe du contenu d'authentification.
    • Confirmation de l'objet Holder-of-Key requise : disponible après le téléchargement d'un fichier de métadonnées valide pris en charge par Holder-of-Key (HOK).
    • Envoyer un certificat de signature avec un message SAML : sélectionnez cette option pour inclure le certificat de signature du domaine d'identité avec les messages SAML envoyés par votre domaine d'identité. Certains fournisseurs SAML requièrent le certificat de signature pour rechercher la configuration du partenaire SAML.
  11. Cliquez sur Suivant.
  12. Sur l'écran Ajouter un fournisseur d'identités SAML, procédez comme suit :
    1. Sélectionnez un format d'ID de nom demandé.
  13. Mettez en correspondance les attributs d'identité de l'utilisateur reçus de IdP avec un domaine d'identité Oracle Cloud Infrastructure.
    Les options de mappage varient en fonction du fournisseur d'identités. Vous pouvez peut-être affecter directement une valeur IdP à une valeur de domaine d'identité Oracle Cloud Infrastructure. Par exemple, NameID peut être mappé sur UserName. Si vous sélectionnez l'attribut d'assertion SAML comme source, sélectionnez le nom de l'attribut d'assertion, puis entrez le domaine d'identité Oracle Cloud Infrastructure.
  14. Cliquez sur Soumettre.
  15. Sur l'écran Vérifier et créer, vérifiez les paramètres de votre fournisseur d'identités SAML. Si les paramètres sont corrects, cliquez sur Créer. Cliquez sur Modifier en regard de l'ensemble de paramètres, si vous devez les modifier.
  16. La console affiche un message lors de la création du fournisseur d'identités SAML. Vous pouvez effectuer les opérations suivantes à partir de la page d'aperçu :
    • Cliquez sur Tester pour vérifier que la connexion SSO SAML fonctionne correctement.
    • Cliquez sur Activer pour activer IdP afin que le domaine d'identité puisse l'utiliser.
    • Cliquez sur Affecter à la règle de stratégie IdP pour affecter ce fournisseur d'identités SAML à une règle de stratégie existante que vous avez créée.
  17. Cliquez sur Fermer.
Import de métadonnées pour un fournisseur d'identités SAML

Importez les métadonnées SAML d'un fournisseur d'identités.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
  2. Cliquez sur le nom du domaine d'identité dans lequel vous souhaitez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Sécurité, puis sur Fournisseurs d'identités.
  3. Cliquez sur Ajouter un fournisseur d'identités, puis sur Ajouter un fournisseur d'identités SAML.
  4. Entrez les détails du fournisseur d'identités :
    Champ Description
    Nom Entrez le nom du fournisseur d'identités.
    Description Entrez des informations explicatives sur le fournisseur d'identités.
    Icône Recherchez et sélectionnez, ou glissez-déplacez une icône représentant le fournisseur d'identités. L'icône doit présenter une taille de 95 x 95 pixels et un arrière-plan transparent. Les formats de fichier pris en charge sont .png, .fig, .jpg et .jpeg.
  5. Cliquez sur Suivant. Entrez les détails de configuration :
    Champ Description
    Importer les métadonnées du fournisseur d'identités Sélectionnez cette option afin d'importer les métadonnées pour le fournisseur d'identités.
    Métadonnées du fournisseur d'identités Sélectionnez le fichier XML contenant les métadonnées du fournisseur d'identités que vous voulez importer.

    Remarque: Vous pouvez définir un seul fournisseur d'identités dans le domaine d'identité avec un ID d'émetteur donné, également appelé ID de fournisseur ou ID d'entité. L'attribut d'ID d'entité fait partie des métadonnées du fournisseur d'identités. Vous pouvez donc créer un seul fournisseur d'identités avec un fichier de métadonnées spécifique. En outre, vous pouvez mettre à jour un fournisseur d'identités avec de nouvelles métadonnées, mais vous ne pouvez pas modifier son ID d'émetteur.
    Envoyer le certificat de signature avec le message SAML

    Pour inclure le certificat de signature du domaine d'identité avec les messages SAML envoyés à IdP, cochez cette case. Le certificat de signature est utilisé afin de vérifier la signature des messages pour le fournisseur d'identités. Cela n'est généralement pas nécessaire, mais certains fournisseurs d'identités l'exigent dans le cadre de leur processus de vérification de signature.
    Algorithme de hachage de signature
    Sélectionnez l'algorithme de hachage sécurisé à utiliser pour signer les messages envoyés au fournisseur d'identités.
    • SHA-256 est la valeur par défaut.

    • Si le fournisseur d'identités ne prend pas en charge SHA-256, sélectionnez SHA-1.
  6. Cliquez sur Suivant. Configurez la correspondance entre le fournisseur d'identités et les attributs utilisateur de domaine d'identité :
    Champ Description
    Attribut utilisateur de fournisseur d'identités

    Sélectionnez la valeur d'attribut utilisateur reçue du fournisseur d'identités qui peut être employée pour identifier l'utilisateur de manière unique.

    Vous pouvez indiquer l'ID de nom de l'assertion. Vous pouvez également spécifier un autre attribut SAML de l'assertion en le saisissant dans la zone de texte Attribut d'assertion.
    Attribut utilisateur de domaine d'identité

    Sélectionnez l'attribut dans le domaine d'identité avec lequel vous mettez en correspondance l'attribut reçu du fournisseur d'identités.

    Vous pouvez indiquer le nom utilisateur ou un autre attribut (par exemple, le nom d'affichage de l'utilisateur, l'adresse électronique principale ou de récupération, ou un ID externe). Utilisez l'ID externe lorsque vous voulez mettre en correspondance l'attribut reçu du fournisseur d'identités avec un ID spécial associé au fournisseur.
    Format NameID demandé

    Lorsque des demandes d'authentification SAML sont envoyées au fournisseur d'identités, vous pouvez indiquer un format d'ID de nom dans la demande.

    Si votre fournisseur d'identités ne requiert pas cet élément dans la demande, sélectionnez <Aucun élément demandé>.
  7. Cliquez sur Créer IdP. Exportez les métadonnées SAML du domaine d'identité :
    Tâche Description
    Métadonnées du fournisseur de services

    Afin d'exporter les métadonnées pour le domaine d'identité, cliquez sur Télécharger. Importez ensuite ces métadonnées vers le fournisseur d'identités. Si le fournisseur d'identités ne prend pas en charge l'import d'un document XML de métadonnées SAML, utilisez les informations suivantes pour le configurer manuellement.

    Si le partenaire de fédération dans lequel vous importez les métadonnées de domaine d'identité effectue une validation de la liste des certificats révoqués (par exemple, AD FS effectue cette validation) au lieu d'utiliser les métadonnées exportées grâce à ce bouton, téléchargez les métadonnées à partir de l'adresse https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Activez le commutateur sous Accéder au certificat de signature dans Paramètres par défaut pour permettre aux clients d'accéder aux métadonnées sans se connecter au domaine d'identité.
    Métadonnées du fournisseur de services avec des certificats auto-signés

    Afin d'exporter les métadonnées pour le domaine d'identité avec les certificats auto-signés, cliquez sur Télécharger. Importez ensuite ces métadonnées vers le fournisseur d'identités. Si le fournisseur d'identités ne prend pas en charge l'import d'un document XML de métadonnées SAML, utilisez les informations suivantes pour le configurer manuellement.

    Si le partenaire de fédération dans lequel vous importez les métadonnées de domaine d'identité effectue une validation de la liste des certificats révoqués (par exemple, AD FS effectue cette validation) au lieu d'utiliser les métadonnées exportées grâce à ce bouton, téléchargez les métadonnées à partir de l'adresse https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Activez le commutateur sous Accéder au certificat de signature dans Paramètres par défaut pour permettre aux clients d'accéder aux métadonnées sans se connecter au domaine d'identité.
    ID de fournisseur

    URI qui identifie de manière unique le domaine d'identité. L'ID de fournisseur est également appelé ID d'émetteur ou ID d'entité.
    URL du service consommateur d'assertion URL de l'adresse de service de domaine d'identité qui reçoit et traite les assertions du fournisseur d'identités.
    URL endpoint du service de déconnexion URL de l'adresse de service de domaine d'identité qui reçoit et traite les demandes de déconnexion du fournisseur d'identités.
    URL de renvoi du service de déconnexion URL de l'adresse de service de domaine d'identité qui reçoit et traite les réponses de déconnexion du fournisseur d'identités.
    Certificat de signature du fournisseur de services Pour exporter le certificat de signature du domaine d'identité, cliquez sur Télécharger. Sélectionnez le fichier contenant le certificat de signature. Ce certificat est utilisé par le fournisseur d'identités pour vérifier la signature sur les demandes SAML et les réponses envoyées par le domaine d'identité au fournisseur d'identités.
    Certificat de cryptage du fournisseur de services Pour exporter le certificat de cryptage du domaine d'identité, cliquez sur Télécharger. Sélectionnez le fichier contenant le certificat de cryptage. Ce certificat est utilisé par le fournisseur d'identités pour crypter les assertions SAML qu'il envoie au domaine d'identité. Cette opération est uniquement nécessaire si le fournisseur d'identités prend en charge les assertions cryptées.

    Pour obtenir le certificat racine du domaine d'identité émetteur, reportez-vous à Obtention du certificat d'autorité de certification racine.

  8. Cliquez sur Suivant.
  9. Sur la page Tester le fournisseur d'identités, cliquez sur Tester la connexion pour tester les paramètres de configuration du fournisseur d'identités. (Vous devez être connecté au domaine d'identité pour lequel vous avez configuré le fournisseur d'identités afin de tester les paramètres de configuration.)
  10. Cliquez sur Suivant.
  11. Sur la page Activer le fournisseur d'identités, cliquez sur Activer pour activer le fournisseur d'identités.
  12. Cliquez sur Terminer.

Export des métadonnées SAML

Export des métadonnées SAML pour un domaine d'identité dans IAM.

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Identité, cliquez sur Domaines.
  2. Cliquez sur le nom du domaine d'identité dans lequel vous souhaitez travailler. Vous devrez peut-être modifier le compartiment pour trouver le domaine souhaité. Cliquez ensuite sur Sécurité, puis sur Fournisseurs d'identités.
  3. Ouvrez un fournisseur d'identités.
  4. Cliquez sur Exporter les métadonnées SAML.
  5. Sélectionnez l'un des éléments suivants :
    • Fichier de métadonnées : sélectionnez Télécharger le fichier de métadonnées XML SAML ou télécharger les métadonnées XML SAML avec des certificats auto-signés.
    • Export manuel : l'export manuel des métadonnées vous permet de choisir parmi plusieurs options SAML, par exemple l'ID d'entité ou l'URL de réponse de déconnexion. Après avoir copié le fichier d'export, vous pouvez télécharger le certificat de signature du fournisseur de services ou le certificat de cryptage du fournisseur de services.
    • URL de métadonnées : si IdP prend en charge le téléchargement direct des métadonnées SAML. Cliquez sur Accéder au certificat de signature pour permettre aux clients d'accéder au certificat de signature sans avoir à se connecter à un IdP.

Configuration des métadonnées IdP

Entrez les détails des métadonnées IdP manuellement ou importez un fichier de métadonnées.

  1. Sélectionnez l'un des éléments suivants :
    • Importer des métadonnées IdP : sélectionnez cette option si un fichier XML est exporté à partir de IdP. Glissez-déplacez le fichier XML pour télécharger les métadonnées ou cliquez sur sélectionner un fichier pour rechercher le fichier de métadonnées.
    • Entrer les métadonnées IdP : sélectionnez cette option si vous voulez entrer manuellement les métadonnées IdP. Indiquez les informations suivantes:
      • URI d'émetteur du fournisseur d'identités:
      • URI de service SSO
      • Liaison de service SSO
      • Télécharger le certificat de signature du fournisseur d'identités
      • Télécharger le certificat de cryptage du fournisseur d'identités
      • Activer la déconnexion globale
      • URL de demande de déconnexion du fournisseur d'identités
      • URL de réponse de déconnexion du fournisseur d'identités
      • Liaison de déconnexion
  2. Sélectionnez la méthode d'algorithme de hachage de signature.
  3. Indiquez si vous souhaitez utiliser un certificat de signature signé avec un message SAML.
  4. Cliquez sur Suivant.

Mapper des attributs utilisateur

Mettez en correspondance la relation entre les attributs utilisateur IdP et les attributs utilisateur de domaine d'identité.

  1. Dans le champ Format d'ID de nom demandé, sélectionnez une option de mappage.

    Les options de mappage varient en fonction du fournisseur d'identités. Vous pouvez peut-être affecter directement une valeur IdP à une valeur de domaine d'identité Oracle Cloud Infrastructure. Par exemple, NameID peut être mappé sur UserName. Si vous sélectionnez l'attribut d'assertion SAML comme source, sélectionnez le nom de l'attribut d'assertion, puis entrez le domaine d'identité Oracle Cloud Infrastructure.

    Si vous sélectionnez Personnalisé, entrez les détails dans le champ Format d'ID de nom personnalisé.

  2. Sélectionnez des champs dans Attribut utilisateur de fournisseur d'identités et sélectionnez un champ correspondant dans Attribut utilisateur de domaine d'identité.
  3. Cliquez sur Suivant.

Consultation et création de IdP

Vérifiez que les options IdP sont exactes, puis créez IdP.

  1. Cliquez sur Tester la connexion pour ouvrir l'écran de connexion IdP.
  2. Cliquez sur Créer IdP.
    Remarque

    Pour modifier un élément IdP après l'avoir créé, accédez à la liste Fournisseurs d'identités, sélectionnez IdP, puis modifiez IdP.