Federación con proveedores de identidad SAML 2.0

En este tema, se describen los pasos generales para federar Oracle Cloud Infrastructure con cualquier proveedor de identidad que soporte el protocolo SAML (Security Assertion Markup Language) 2.0. Si desea obtener instrucciones específicas para Oracle Identity Cloud Service o Microsoft Active Directory, consulte Federación con Oracle Identity Cloud Service o Federación con Microsoft Active Directory.

Consejo

Consulte los pasos de configuración detallados para obtener más información sobre IdP en los siguientes documentos técnicos:

Instrucciones para federar

A continuación, se muestra el proceso general que debe seguir un administrador para configurar el proveedor de identidad, así como las instrucciones para cada paso. Se supone que el administrador es un usuario de Oracle Cloud Infrastructure con las credenciales y el acceso necesarios.

Nota

Antes de seguir los pasos de este tema, consulte Federación con proveedores de identidad para asegurarse de que comprende los conceptos generales sobre federación.

  1. En la consola de Oracle Cloud Infrastructure, obtenga los metadatos de federación necesarios para establecer una relación de confianza con el proveedor de identidad (IdP).
  2. En el IdP, configure Oracle Cloud Infrastructure como una aplicación (a veces denominada usuario de confianza).
  3. En el IdP, asigne usuarios y grupos a su nueva aplicación de Oracle Cloud Infrastructure.
  4. En el IdP, obtenga la información que necesita Oracle Cloud Infrastructure.
  5. En Oracle Cloud Infrastructure:

    1. Agregue el proveedor de identidad a su arrendamiento y proporcione la información que obtuvo del IdP.
    2. Asigne los grupos del IdP a grupos de IAM.
  6. En Oracle Cloud Infrastructure, asegúrese de tener políticas de IAM configuradas para los grupos, de modo que pueda controlar el acceso de los usuarios a los recursos de Oracle Cloud Infrastructure.
  7. Informe a sus usuarios del nombre de su arrendatario de Oracle Cloud Infrastructure y de la URL de la consola: https://cloud.oracle.com.

Paso 1: Obtenga información de Oracle Cloud Infrastructure

Resumen: Descargue el documento de metadatos de federación.

El documento de metadatos de federación es un documento SAML 2.0 estándar que aporta información sobre Oracle Cloud Infrastructure, que necesitará suministrar a su IdP. Según los requisitos de configuración de su proveedor, es posible que deba cargar todo el documento, o tal vez se le pida que proporcione solo valores de metadatos específicos del documento.

  1. Conéctese a la consola de Oracle Cloud Infrastructure como administrador.
  2. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Federación.
  3. Haga clic con el botón derecho en el enlace Descargar este documento y guárdelo.

Paso 2: Configure Oracle Cloud Infrastructure como aplicación de confianza

Consulte la documentación de su IdP para obtener información sobre cómo configurar una aplicación de confianza. Consulte el documento de metadatos que ha descargado para obtener los parámetros necesarios.

Paso 3: Asigne usuarios y grupos a la nueva aplicación.

Siga los procedimientos de su IdP para agregar usuarios y grupos a la aplicación que ha configurado para Oracle Cloud Infrastructure.

Paso 4: Descargue el documento de metadatos del IdP.

Su IdP debería proporcionar un documento SAML 2.0 que contenga la información que Oracle Cloud Infrastructure necesita para terminar la federación. Consulte la documentación de IdP para obtener instrucciones sobre la descarga de este documento.

Paso 5: Federe el IdP con Oracle Cloud Infrastructure

Resumen: Agregue el proveedor de identidad a su arrendamiento. Puede configurar las asignaciones de grupo al mismo tiempo o configurarlas posteriormente.

Detalles:
  1. Vaya a la consola y conéctese con su inicio de sesión y contraseña de Oracle Cloud Infrastructure.
  2. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Federación.
  3. Haga clic en Agregar proveedor de identidad.
  4. Introduzca lo siguiente:

    1. Nombre: nombre único para esta confianza de federación. Este es el nombre que verán los usuarios federados al seleccionar el proveedor de identidad que se va a utilizar al conectarse a la consola, por lo que se recomienda utilizar un nombre sencillo e intuitivo que los usuarios entiendan. El nombre debe ser único en todos los proveedores de identidad que agregue al arrendamiento. No se puede cambiar más adelante.
    2. Descripción: una descripción fácil de recordar.
    3. Tipo: seleccione Proveedor de identidad compatible con los Servicios de federación de Active Directory (ADFS) de Microsoft o con SAML 2.0.
    4. XML: cargue el documento metadata.xml que ha descargado de su IdP.
    5. Cifrar afirmación: al seleccionar la casilla de control, el servicio IAM esperará el cifrado desde IdP. Si marca esta casilla de control, también debe configurar el cifrado de la afirmación en IdP. Para obtener más información, consulte Cifrar afirmación en Conceptos generales. Consulte también la documentación de su IdP.
    6. Forzar autenticación: seleccionado por defecto. Cuando se selecciona esta opción, los usuarios deben proporcionar sus credenciales a IdP (volver a autenticarse) aunque ya estén conectados en otra sesión.
    7. Referencias de clase de contexto de autenticación: este campo es necesario para los clientes de Government Cloud. Cuando se especifican uno o más valores, Oracle Cloud Infrastructure (el usuario de confianza) espera que el proveedor de identidad utilice uno de los mecanismos de autenticación especificados al autenticar el usuario. La respuesta SAML que devuelve el IdP debe contener una sentencia de autenticación con esa referencia de clase de contexto de autenticación. Si el contexto de autenticación de respuesta de SAML no coincide con el especificado aquí, el servicio de autenticación de Oracle Cloud Infrastructure rechaza la respuesta SAML con un 400. En el menú, se muestran varias referencias de clase de contexto de autenticación comunes. Para utilizar una clase de contexto diferente, seleccione Personalizada y, a continuación, introduzca manualmente la referencia de clase.
    8. Si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.
  5. Haga clic en Continuar.
  6. Configure las asignaciones entre los grupos de IdP y los grupos de IAM en Oracle Cloud Infrastructure. Un grupo de IdP determinado se puede asignar a cero, uno o varios grupos de IAM y viceversa. Sin embargo, cada asignación individual se realiza entre un solo grupo de IdP y un solo grupo de IAM. Los cambios en las asignaciones de grupo se aplicarán normalmente en cuestión de segundos en la región principal, pero pueden tardar varios minutos en propagarse a todas las regiones.

    Nota

    Si no desea configurar las asignaciones de grupo ahora, puede hacer clic en Crear y volver para agregarlas posteriormente.

    Para crear una asignación de grupo:

    1. En Grupo de proveedores de identidad, introduzca el nombre del grupo en su IdP. Debe introducir el nombre de manera exacta, incluidas las mayúsculas y minúsculas.

      Seleccione el grupo de IAM que desea asignar a este grupo en la lista de Grupo de OCI.

      Consejo

      Requisitos para el nombre de grupo de IAM: sin espacios. Caracteres permitidos: letras, números, guiones, puntos, guiones bajos y signos más (+). El nombre no se puede cambiar posteriormente.
    2. Repita los pasos anteriores para cada asignación que desee crear y, a continuación, haga clic en Crear.

El proveedor de identidad queda agregado a su arrendamiento y aparece en la lista de la página Federación. Haga clic en el proveedor de identidad para ver sus detalles y las asignaciones de grupo que acaba de configurar.

Oracle asigna al proveedor de identidad y a cada asignación de grupo un ID único denominado Oracle Cloud ID (OCID). Para obtener más información, consulte Identificadores de recursos.

En el futuro, vaya a la página Federación si desea editar o agregar asignaciones de grupo o suprimir el proveedor de identidad de su arrendamiento.

Paso 6: Configure las políticas de IAM para los grupos

Si aún no lo ha hecho, configure las políticas de IAM para controlar el acceso que tienen los usuarios federados a los recursos de Oracle Cloud Infrastructure de su organización. Para obtener más información, consulte Introducción a las políticas y Políticas comunes.

Paso 7: Proporcione a sus usuarios federados el nombre del arrendatario y la URL para conectarse

Los usuarios federados necesitan la URL de la consola de Oracle Cloud Infrastructure: https://cloud.oracle.com, y el nombre de cliente. Se les solicitará que proporcionen el nombre del arrendatario al conectarse a la consola.

Gestión de proveedores de identidad en la consola

Para suprimir un proveedor de identidad

También se suprimirán todas las asignaciones de grupo para el proveedor de identidad.

  1. Suprima el proveedor de identidad de su arrendamiento:

    1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Federación.

      Se muestra una lista de los proveedores de identidad en el arrendamiento.

    2. Haga clic en el proveedor de identidad para ver sus detalles.
    3. Haga clic en Suprimir.
    4. Confirme cuando se le solicite.
  2. Para suprimir la aplicación de su IdP, siga la documentación de dicho IdP.
Para agregar asignaciones de grupo para un proveedor de identidad
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Federación.

    Se muestra una lista de los proveedores de identidad en el arrendamiento.

  2. Haga clic en el proveedor de identidad para ver sus detalles.
  3. Haga clic Agregar asignaciones.

    1. Introduzca el nombre del grupo de IdP de manera exacta en el cuadro de texto Grupo de proveedores de identidad.
    2. Seleccione el grupo de IAM que desea asignar a este grupo en la lista de Grupo de OCI.

    3. Para agregar más asignaciones, haga clic en +Otra asignación.
    4. Cuando haya terminado, haga clic en Agregar asignaciones.

Normalmente, los cambios que efectúe se aplicarán en cuestión de segundos en su región principal. Espere varios minutos para que los cambios se propaguen a todas las regiones

Para actualizar una asignación de grupo

No puede actualizar una asignación de grupo, pero puede suprimir la asignación y agregar una nueva.

Para suprimir una asignación de grupo
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Federación.

    Se muestra una lista de los proveedores de identidad en el arrendamiento.

  2. Haga clic en el proveedor de identidad para ver sus detalles.
  3. Seleccione la asignación que desee suprimir y, a continuación, haga clic en Suprimir.
  4. Confirme cuando se le solicite.

Normalmente, los cambios que efectúe se aplicarán en cuestión de segundos en su región principal. Espere varios minutos para que los cambios se propaguen a todas las regiones.

Gestión de proveedores de identidad en la API

Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte la documentación de la API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Los SDK y la CLI.

Utilice estas operaciones de API:

Proveedores de identidad: Asignaciones de grupo: