Federando com o Microsoft Active Directory

Etapa 1: Obtenha informações necessárias do Active Directory Federation Services

Resumo: Obtenha o documento de metadados SAML e os nomes dos grupos do Active Directory que você deseja mapear para grupos do Oracle Cloud Infrastructure Identity and Access Management.

1. Localize o documento de metadados SAML para o servidor de federação do AD FS. Por padrão, ele está neste URL:

   https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

   Faça download deste documento e anote o local onde ele será salvo. Você fará upload deste documento para a Console na próxima etapa.

2. Observe todos os grupos do Active Directory que você deseja mapear para grupos do Oracle Cloud Infrastructure IAM. Você precisará informar esses itens na Console na próxima etapa.

Etapa 2: Adicione o Active Directory como provedor de identidades no Oracle Cloud Infrastructure

Resumo: Adicione o provedor de identidades à sua tenancy. Você pode configurar os mapeamentos do grupo ao mesmo tempo ou configurá-los posteriormente.

1. Vá para a Console e informe seu login e senha do Oracle Cloud Infrastructure.
2. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Federação.
3. Clique em Adicionar provedor de identidades.

4. Informe o seguinte:

   1. Nome para Exibição: Um nome exclusivo para esta confiança federada. Este é o nome que os usuários federados veem ao escolher qual provedor de identidades será usado ao acessar a Console. O nome deve ser exclusivo em todos os provedores de identidade que você adicionar à tenancy. Não é possível alterar essa opção posteriormente.
   2. Descrição: Uma descrição amigável.
   3. Tipo: Selecione um provedor de identidades compatível com o Microsoft Active Directory Federation Services (ADFS) ou SAML 2.0.
   4. XML: Faça upload do arquivo FederationMetadata.xml submetido a download do Azure AD.
   5. Clique em Mostrar Opções Avançadas.

   6. Criptografar Declaração: A seleção da caixa de seleção permite que o serviço IAM saiba esperar a criptografia de IdP. Não marque esta caixa de seleção a menos que você tenha ativado a criptografia de asserção no Azure AD.

      Para ativar a criptografia de asserção para esta aplicação de sign-on único no Azure AD, configure o Certificado de Assinatura SAML no Azure AD para assinar a resposta e a asserção de SAML. Para obter mais informações, consulte a documentação do Azure AD.

   7. Forçar Autenticação: Selecionado por default. Quando esta opção é selecionada, os usuários precisam fornecer suas credenciais para o IdP (reautenticar), mesmo quando já estão conectados a outra sessão.
   8. Referências da Classe de Contexto de Autenticação: este campo é obrigatório para clientes do Government Cloud. Quando um ou mais valores são especificados, o Oracle Cloud Infrastructure (a parte confiável) espera que o provedor de identidades use um dos mecanismos de autenticação especificados ao autenticar o usuário. A resposta SAML retornada do IdP deve conter uma instrução de autenticação com essa referência de classe de contexto de autenticação. Se o contexto de autenticação de resposta SAML não corresponder ao que foi especificado aqui, o serviço de autenticação do Oracle Cloud Infrastructure rejeitará a resposta SAML com um 400. Várias referências comuns de classe de contexto de autenticação são listadas no menu. Para usar uma classe de contexto específico, selecione Personalizado e informe manualmente a referência de classe.
   9. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.
5. Clique em Continuar.

6. Configure os mapeamentos entre os grupos do Active Directory e do IAM no Oracle Cloud Infrastructure. Um determinado grupo do Active Directory pode ser mapeado para zero, um ou vários grupos do serviço IAM e vice-versa. Entretanto, cada mapeamento individual está entre um único grupo do Active Directory e um único grupo do serviço IAM. As alterações em mapeamentos de grupo têm efeito normalmente em segundos na sua região local, mas podem levar vários minutos para serem propagadas em todas as regiões.

   Nota
   
   

   Se não quiser configurar os mapeamentos de grupo agora, você pode simplesmente clicar em Criar e voltar para adicionar os mapeamentos posteriormente.

   Para criar um mapeamento de grupo:

   1. Em Grupo de Provedores de Identidade, informe o nome do grupo do Active Directory. Você deve informar o nome exato, incluindo as letras maiúsculas e minúsculas corretas.

      Escolha o grupo do serviço IAM para o qual você deseja mapear esse grupo na lista em Grupo OCI.

      Dica
      
      Requisitos para o nome do grupo do serviço IAM: sem espaços. Caracteres permitidos: letras, números, hifens, pontos, sublinhados e sinais de mais (+). O nome não pode ser alterado posteriormente.
   2. Repita as etapas acima para cada mapeamento que você deseja criar e, em seguida, clique em Criar.

O provedor de identidades agora é adicionado à sua tenancy e aparece na lista na página Federação. Clique no provedor de identidades para exibir seus detalhes e os mapeamentos de grupo que você acabou de configurar.

O sistema Oracle atribui ao provedor de identidades e a cada mapeamento de grupo um ID exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte Identificadores de Recursos.

No futuro, vá para a página Federação se quiser editar os mapeamentos do grupo ou excluir o provedor de identidades da sua tenancy.

Etapa 3: Copie o URL do documento de Metadados da Federação do Oracle Cloud Infrastructure

Resumo: A página Federação exibe um link para o documento de Metadados da Federação do Oracle Cloud Infrastructure. Antes de fazer a configuração dos Serviços de Federação do Active Directory, você precisa copiar o URL.

1. Na página Federação, clique em Fazer download deste documento.

2. Copie o URL. O URL é semelhante a:

   https://auth.r2.oracleiaas.com/v1/saml/ocid1.tenancy.oc1..aaaaaaaaqdt2tvdmhsa3jmvc5dzulgs3pcv6imfwfgdya4aq/metadata.xml

Etapa 4: Em Serviços de Federação do Active Directory, adicione o Oracle Cloud Infrastructure como uma parte confiável

1. Vá para a Console de Gerenciamento do AD FS e acesse a conta que deseja federar.

2. Adicione o Oracle Cloud Infrastructure como uma parte confiável:

   1. Na Console de Gerenciamento do AD FS, clique com o botão direito em AD FS e selecione Adicionar Confiança de Parte Confiável.

   2. No Assistente de Adição de Confiança de Parte Confiável, clique em Iniciar.

   3. Selecione Importar dados sobre a parte confiável publicada on-line ou em uma rede local.

      Cole o URL de Metadados da Federação do Oracle Cloud Infrastructure que você copiou na Etapa 3. Clique em Próximo.

      O AD FS estabelecerá conexão com o URL. Se você receber um erro durante a tentativa de ler os metadados da federação, poderá também fazer upload do documento XML dos Metadados da Federação do Oracle Cloud Infrastructure.

      Para fazer upload do documento de metadados da federação

      1. Em um web browser, cole o URL de Metadados da Federação do Oracle Cloud Infrastructure na barra de endereços.
      2. Salve o documento XML em um local acessível pela Console de Gerenciamento do AD FS.
      3. Na etapa Selecionar Origem de Dados do Assistente de Adição de Confiança de Parte Confiável, selecione Importar dados sobre a parte confiável de um arquivo.
      4. Clique em Procurar e selecione o arquivo metadata.xml que você salvou.
      5. Clique em Próximo.

   4. Defina o nome para exibição da parte confiável (por exemplo, Oracle Cloud Infrastructure) e clique em Próximo.

   5. Selecione Não desejo configurar definições de autenticação multifator para essa confiança da parte confiável no momento.

   6. Escolha as Regras de Autorização de Emissão apropriadas para permitir ou negar o acesso de todos os usuários à parte confiável. Observe que se você escolher "Negar", deverá posteriormente adicionar as regras de autorização para permitir o acesso aos usuários apropriados.

      Clique em Próximo.

   7. Analise as configurações e clique em Avançar.
   8. Marque Abrir a caixa de diálogo Editar Regras de Reivindicação para esta confiança da parte confiável quando o assistente for fechado e, em seguida, clique emFechar.

Etapa 5: Adicione as regras de reivindicação para a parte confiável do Oracle Cloud Infrastructure

Resumo: Adicione as regras de reivindicação para que os elementos de que o Oracle Cloud Infrastructure precisa (ID do Nome e grupos) sejam adicionados à resposta de autenticação SAML.

Adicione a regra de ID de Nome:

1. No Assistente de Adição de Regra de Reivindicação de Transformação, selecione Transformar uma Reivindicação de Entrada e clique em Próximo.

2. Informe o seguinte:

   • Nome da regra de reivindicação: Informe um nome para esta regra, por exemplo, nameid.
   • Tipo de reivindicação de entrada: Selecione o nome da conta do Windows.
   • Tipo de reivindicação de saída: Selecione o ID do Nome.
   • Formato do ID do nome de saída: Selecione Identificador Persistente.
   • Selecione Passar por todo o valor de reivindicação.
   • Clique em Finalizar.
3. A regra é exibida na lista de regras. Clique em Adicionar Regra.

Adicione a regra de grupos:

Etapa 6: Configure políticas do serviço IAM para os grupos

Caso ainda não tenha configurado, configure as políticas do serviço IAM para controlar o acesso que os usuários federados terão aos recursos do Oracle Cloud Infrastructure da sua organização. Para obter mais informações, consulte Conceitos Básicos de Políticas e Políticas Comuns.

Etapa 7: Dê aos usuários federados o nome do tenant e o URL para o acesso

Dê aos usuários federados o URL da Console do Oracle Cloud Infrastructure, https://cloud.oracle.com, e o nome do tenant. Será solicitado que eles forneçam o nome do tenant quando acessarem a Console.