Documentación de Oracle Cloud Infrastructure

Gestión de un proveedor de identidad SAML

Utilice la consola para agregar un proveedor de identidad de SAML 2.0 (IdP) a un dominio de identidad para que los usuarios autenticados desde IdP puedan acceder a Oracle Cloud Infrastructure y puedan acceder a los recursos y las aplicaciones en la nube.

Términos comunes

Proveedor de identidad (IdP)

Un IdP es un servicio que proporciona credenciales de identificación y autenticación para usuarios.

Proveedor de Servicios (SP)

Un servicio (como una aplicación, un sitio web, etc.) que llama a un IdP para autenticar usuarios.

Utilice los siguientes pasos para crear una instancia de SAML 2.0 IdP:

Configuración del aprovisionamiento de JIT de SAML

El aprovisionamiento de JIT de SAML se puede configurar mediante la consola o el punto final de API de REST /admin/v1/IdentityProviders. Consulte las siguientes referencias para configurar el aprovisionamiento de JIT de SAML:

Adición de un proveedor de identidad de SAML

Introducción de los detalles SAML para un proveedor de identidad.

  1. Desplácese hasta el dominio de identidad: abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
  2. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Seguridad y, a continuación, en Proveedores de identidad.
  3. Haga clic en Agregar IdP y, a continuación, haga clic en Agregar IDP de SAML.
  4. Introduzca la siguiente información:
    • Nombre: introduzca el nombre de IdP.
    • (Opcional) Descripción: introduzca una descripción de IdP.
    • (Opcional) Icono de proveedor de identidad: Arrastre y suelte una imagen soportada o haga clic en Seleccionar una para buscar la imagen.
  5. Haga clic en Siguiente.
  6. En la pantalla Intercambio de metadatos, haga clic en el botón Exportar metadatos de SAML para enviar los metadatos de SAML al proveedor de identidad. Realice una de las siguientes acciones:
    • Importar metadatos IdP: seleccione esta opción si tiene un archivo XML exportado de IdP. Arrastre y suelte el archivo XML para cargar los metadatos o haga clic en seleccionar uno para buscar el archivo de metadatos.
    • Introduzca los metadatos de IdP: seleccione esta opción si desea introducir manualmente los metadatos de IdP. Proporcione los siguientes detalles:
      • URI de emisor de proveedor de identidad
      • URI de servicio SSO
      • Enlace de servicio SSO
      • Cargar certificado de firma de proveedor de identidad
      • Activar desconexión global
    • URL de importación IdP: introduzca la URL de los metadatos de IdP.
  7. Haga clic en Mostrar opciones avanzadas si desea seleccionar lo siguiente:
    • Algoritmo de hash de firma: seleccione SHA-256 o SHA-1
    • Requerir afirmación cifrada: indica que la autorización del dominio de identidad espera una afirmación cifrada de IdP.
    • Forzar autenticación: seleccione esta opción para solicitar a los usuarios que se autentiquen con IdP, incluso si la sesión sigue siendo válida.
    • Contexto de autenticación solicitado: seleccione las referencias de clase de contenido de autenticación.
    • Confirmación de asunto del titular de la clave necesaria: disponible después de cargar un archivo de metadatos válido soportado por el titular de la clave (HOK).
    • Enviar certificado de firma con mensaje SAML: seleccione esta opción para incluir el certificado de firma del dominio de identidad con mensajes SAML enviados por el dominio de identidad. Algunos proveedores de SAML necesitan el certificado de firma para buscar la configuración del partner de SAML.
  8. Haga clic en Siguiente.
  9. En la pantalla Agregar proveedor de identidad SAML, realice lo siguiente:
    1. Seleccione un formato de ID de nombre solicitado.
  10. Asigne los atributos de identidad del usuario de IdP a un dominio de identidad de Oracle Cloud Infrastructure.
    Las opciones de asignación varían en función del proveedor de identidad. Puede asignar directamente un valor IdP a un valor de dominio de identidad de Oracle Cloud Infrastructure. Por ejemplo, NameID puede asignarse a UserName. Si selecciona el atributo de afirmación de SAML como origen, seleccione el nombre del atributo de afirmación y, a continuación, introduzca el dominio de identidad de Oracle Cloud Infrastructure.
  11. Haga clic en Ejecutar.
  12. En la pantalla Revisar y crear, revise la configuración del proveedor de identidad de SAML. Si la configuración es correcta, haga clic en Crear. Haga clic en Editar junto al conjunto de valores si necesita cambiarlos.
  13. La consola muestra un mensaje cuando se crea el proveedor de identidad de SAML. En la página de visión general puede hacer lo siguiente:
    • Haga clic en Probar para verificar que la conexión única de SAML funciona correctamente.
    • Haga clic en Activar para activar IdP para que el dominio de identidad puede usarlo.
    • Haga clic en Asignar a regla de política IdP para asignar este proveedor de identidad de SAML a una regla de política existente que haya creado.
  14. Haga clic en Cerrar
Importación de metadatos para un proveedor de identidad de SAML

Importe los metadatos de SAML para un proveedor de identidad.

  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
  2. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Seguridad y, a continuación, en Proveedores de identidad.
  3. Haga clic en Agregar IdP y, a continuación, haga clic en Agregar IDP de SAML.
  4. Introduzca los detalles del IdP:
    Campo Descripción
    Nombre Introduzca el nombre del IdP.
    Descripción Introduzca información explicativa sobre el IdP.
    Icono Busque y seleccione o arrastre y suelte un icono que represente al IdP. El icono debe tener un tamaño de 95 x 95 píxeles y un fondo transparente. Los formatos de archivo soportados son .png, .fig, .jpg, .jpeg.
  5. Haga clic en Siguiente. Introduzca los detalles de configuración:
    Campo Descripción
    Importar metadatos de proveedor de identidad Seleccione esta opción para importar los metadatos para el IdP.
    Metadatos de proveedor de identidad Seleccione el archivo XML que contiene los metadatos del IdP que desea importar.

    Nota: Solo puede definir un IdP en el dominio de identidad con un identificador de emisor concreto, también conocido como identificador de proveedor o identificador de entidad. El atributo ID de entidad forma parte de los metadatos del IdP, por lo que solo puede crear un IdP con un archivo de metadatos determinado. Además, puede actualizar un IdP con nuevos metadatos, pero no puede cambiar su identificador de emisor.
    Enviar certificado de firma con mensaje SAML

    Para incluir el certificado de firma del dominio de identidad con mensajes SAML enviados a IdP, seleccione esta casilla de control. El certificado de firma se utiliza para verificar la firma de los mensajes para el IdP. Normalmente, esto no es necesario, pero algunos IdP lo requieren como parte de su proceso de verificación de firma.
    algoritmo de hash de firma
    Seleccione el algoritmo de hash seguro que se utilizará para firmar los mensajes que se envían al IdP.
    • SHA-256 es el valor por defecto.

    • Si el IdP no soporta SHA-256, seleccione SHA-1.
  6. Haga clic en Siguiente. Configure la asignación entre el IdP y los atributos de usuario del dominio de identidad:
    Campo Descripción
    Atributo de usuario de proveedor de identidad

    Seleccione el valor de atributo de usuario recibido del IdP que se puede utilizar para identificar de forma única al usuario.

    Puede especificar el Identificador de nombre de afirmación. O bien, puede especificar otro atributo SAML desde la afirmación introduciéndolo en el cuadro de texto Atributo de afirmación.
    Atributo de usuario de dominio de identidad

    Seleccione el atributo del dominio de identidad al que desea asignar el atributo recibido desde el IdP.

    Puede especificar el nombre de usuario u otro atributo (como el nombre mostrado del usuario, la dirección de correo electrónico principal o de recuperación o un identificador externo). Utilice el identificador externo cuando desee asignar el atributo recibido del IdP a un identificador especial asociado al proveedor.
    Formato NameID solicitado

    Cuando se envían solicitudes de autenticación de SAML al IdP, puede especificar un formato de identificador de nombre en la solicitud.

    Si el IdP no lo necesita en la solicitud, seleccione <Ninguno solicitado>.
  7. Haga clic en Crear IdP. Exporte los metadatos de SAML del dominio de identidad:
    Tarea Descripción
    Metadatos del proveedor de servicios

    Para exportar metadatos para el dominio de identidad, haga clic en Descargar. A continuación, importe estos metadatos en el IdP. Si el IdP no soporta la importación de un documento XML de metadatos de SAML, utilice la siguiente información para configurar el IdP de forma manual.

    Si el socio de federación en el que desea importar los metadatos del dominio de identidad realiza una validación de CRL (por ejemplo, AD FS realiza una validación de CRL) en lugar de utilizar los metadatos exportados desde este botón, descargue los metadatos desde: https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Active el conmutador de Acceder a certificado de firma en Configuración por defecto para permitir a los clientes acceder a los metadatos sin conectarse al dominio de identidad.
    Metadatos del proveedor de servicios con certificados autofirmados

    Para exportar metadatos para el dominio de identidad junto con certificados autofirmados, haga clic en Descargar. A continuación, importe estos metadatos en el IdP. Si el IdP no soporta la importación de un documento XML de metadatos de SAML, utilice la siguiente información para configurar el IdP de forma manual.

    Si el socio de federación en el que desea importar los metadatos del dominio de identidad realiza una validación de CRL (por ejemplo, AD FS realiza una validación de CRL) en lugar de utilizar los metadatos exportados desde este botón, descargue los metadatos desde: https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true

    Active el conmutador de Acceder a certificado de firma en Configuración por defecto para permitir a los clientes acceder a los metadatos sin conectarse al dominio de identidad.
    ID de proveedor

    Identificador uniforme de recursos (URI) que identifica de manera única el dominio de identidad. El identificador de proveedor también se conoce como identificador de emisor o identificador de entidad.
    URL de servicio de consumidores de afirmaciones Localizador uniforme de recursos (URL) del punto final de servicio del dominio de identidad que recibe y procesa las afirmaciones del IdP.
    URL de punto final del servicio de desconexión URL del punto final del servicio del dominio de identidad que recibe y procesa las solicitudes de desconexión del IdP.
    URL de retorno del servicio de desconexión URL del punto final del servicio del dominio de identidad que recibe y procesa las respuestas de desconexión del IdP.
    Certificado de firma del proveedor de servicios Para exportar el certificado de firma del dominio de identidad, haga clic en Descargar. Seleccione el archivo que contiene el certificado de firma. El IdP utiliza este certificado para verificar la firma de las solicitudes y respuestas de SAML enviadas por el dominio de identidad al IdP.
    Certificado de cifrado del proveedor de servicios Para exportar el certificado de cifrado del dominio de identidad, haga clic en Descargar. Seleccione el archivo que contiene el certificado de cifrado. El IdP utiliza este certificado para cifrar las afirmaciones de SAML que envía al dominio de identidad. Solo es necesario si el IdP soporta afirmaciones cifradas.

    Para obtener la emisión del certificado raíz de dominio de identidad, consulte la sección sobre la obtención del certificado de CA raíz.

  8. Haga clic en Siguiente.
  9. En la página Probar IdP, haga clic en Probar conexión para probar los valores de configuración del IdP. (Debe estar conectado al dominio de identidad para el que ha configurado el IdP para probar los valores de configuración).
  10. Haga clic en Siguiente.
  11. En la página Activar IdP, haga clic en Activar para activar el IdP.
  12. Haga clic en Terminar.

Exportación de metadatos de SAML

Exportación de metadatos de SAML para un dominio de identidad en IAM.

  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
  2. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Seguridad y, a continuación, en Proveedores de identidad.
  3. Abra un proveedor de identidad.
  4. Haga clic en Exportar metadatos de SAML.
  5. Seleccione una de las siguientes opciones:
    • Archivo de metadatos: seleccione Descargar el archivo de metadatos XML de SAML o descargar los metadatos XML de SAML con certificados autofirmados.
    • Exportación manual: la exportación manual de los metadatos permite elegir entre varias opciones de SAML, por ejemplo, el ID de entidad o la URL de respuesta de desconexión. Después de copiar el archivo de exportación, puede descargar el certificado de firma del proveedor de servicios o el certificado de cifrado del proveedor de servicios.
    • URL de metadatos: si IdP soporta la descarga directa de metadatos SAML. Haga clic en Acceder a certificado de firma para permitir que los clientes accedan al certificado de firma sin tener que conectarse a IdP.

Configuración de metadatos IdP

Introduzca los detalles de los metadatos IdP manualmente o importe un archivo de metadatos.

  1. Seleccione una de las siguientes opciones:
    • Importar metadatos IdP: seleccione esta opción si tiene un archivo XML exportado de IdP. Arrastre y suelte el archivo XML para cargar los metadatos o haga clic en seleccionar uno para buscar el archivo de metadatos.
    • Introduzca los metadatos de IdP: seleccione esta opción si desea introducir manualmente los metadatos de IdP. Proporcione los siguientes detalles:
      • URI de emisor de proveedor de identidad:
      • URI de servicio SSO
      • Enlace de servicio SSO
      • Cargar certificado de firma de proveedor de identidad
      • Cargar certificado de cifrado de proveedor de identidad
      • Activar desconexión global
      • URL de solicitud de desconexión de proveedor de identidad
      • URL de respuesta de desconexión de proveedor de identidad
      • Enlace de desconexión
  2. Seleccione el método Firma de algoritmo de hash.
  3. Seleccione si desea utilizar un certificado de firma firmado con mensaje SAML.
  4. Haga clic en Siguiente.

Asignación de atributos de usuario

Asigne la relación entre los atributos de usuario IdP y los atributos de usuario del dominio de identidad.

  1. En el campo Formato de ID de nombre solicitado, seleccione una opción de asignación.

    Las opciones de asignación varían en función del proveedor de identidad. Puede que pueda asignar directamente un valor IdP a un valor de dominio de identidad de Oracle Cloud Infrastructure. Por ejemplo, NameID puede asignarse a UserName. Si selecciona el atributo de afirmación de SAML como origen, seleccione el nombre del atributo de afirmación y, a continuación, introduzca el dominio de identidad de Oracle Cloud Infrastructure.

    Si selecciona Personalizado, introduzca los detalles en el campo Formato de ID de nombre personalizado.

  2. Seleccione campos en el atributo de usuario de proveedor de identidad y seleccione un campo correspondiente en el atributo de usuario de dominio de identidad.
  3. Haga clic en Siguiente.

Revisión y creación de IdP

Verifique que las opciones IdP sean precisas y, a continuación, cree IdP.

  1. Haga clic en Probar conexión para abrir la pantalla de conexión IdP.
  2. Haga clic en Crear IdP.
    Nota

    Para editar un IdP después de crearlo, vaya a la lista Proveedores de identidad, seleccione IdP y, a continuación, edite IdP.