Gestión de proveedores de identidad
Puede configurar la conexión federada entre un dominio de identidad y un proveedor de identidad externo. Esto permite a los usuarios conectarse y acceder a los recursos de Oracle Cloud Infrastructure mediante conexiones y contraseñas existentes gestionadas por el proveedor de identidad.
Rol o política necesarios
- Ser miembro del grupo Administradores
- Tener otorgado el rol de administrador de dominio de identidad o de administrador de seguridad.
- Ser miembro de un grupo que tiene otorgados los permisos
manage identity-domains
Para obtener más información sobre políticas y roles, consulte Grupo de administradores, política y roles de administrador, Descripción de los roles de administrador y Visión general de las políticas de IAM.
Acerca de los proveedores de identidad y los proveedores de servicios
Acerca de los proveedores de identidad y los proveedores de servicios.
Un proveedor de identidad, también conocido como autoridad de autenticación, proporciona autenticación externa para los usuarios que desean conectarse a un dominio de identidad con las credenciales de su proveedor externo. Aunque un dominio de identidad puede servir como proveedor de identidad para un proveedor de servicios de terceros, en este contexto en el que depende de un proveedor de identidad para autenticar usuarios que acceden al dominio de identidad, el dominio de identidad es el proveedor de servicios. En general, también puede pensar en Oracle Cloud Infrastructure como el proveedor de servicios ya que proporciona los servicios y recursos a los que los usuarios desean acceder.
Por ejemplo, puede que la organización desee que los usuarios se conecten y accedan a Oracle Cloud Services con sus credenciales de Microsoft Active Directory Federation Services (AD FS). En este caso, Microsoft AD FS actúa como proveedor de identidad (IdP), y el dominio de identidad funciona como proveedor de servicios (SP). MS AD FS autentica al usuario y devuelve un token que contiene información de identidad y autenticación al dominio de identidad (por ejemplo, el nombre de usuario y la dirección de correo electrónico del usuario). Este token de seguridad está firmado digitalmente por el IdP. El SP verifica la firma del token y, a continuación, utiliza la información de identidad para establecer una sesión autenticada para el usuario. Esto se conoce como conexión única federada en la que se pide al usuario las credenciales en un dominio y se le concede acceso a otro dominio.
Para federar un puente de Microsoft Active Directory, consulte Configuración de un puente de Microsoft Active Directory (AD).
Acerca de los certificados digitales
Un certificado digital es como un pasaporte electrónico que ayuda a una persona, una computadora o una organización a intercambiar información de forma segura a través de Internet mediante cifrado de clave pública. Un certificado digital puede denominarse un certificado de clave pública.
Al igual que un pasaporte, un certificado digital proporciona información de identificación, es resistente a la falsificación y se puede verificar porque lo emite una agencia oficial de confianza. El certificado puede contener el nombre del titular del certificado, un número de serie, fechas de caducidad, una copia de la clave pública del titular del certificado (que se utiliza para cifrar mensajes y verificar firmas digitales) y la firma digital de la autoridad emisora del certificado (CA) para que el destinatario pueda verificar que el certificado es real.
Para verificar las firmas de los proveedores de identidad externos, el proveedor de servicios almacena copias de sus certificados de firma. Cuando el proveedor de servicios recibe un mensaje firmado de un proveedor de identidad, antes de utilizar el certificado almacenado para verificar la firma, se debe verificar que el certificado es válido. La validación del certificado incluye la verificación de que el certificado no ha caducado. Una vez que el certificado se ha validado, el certificado se utiliza para verificar la firma del mensaje.
Para que esta operación se realice correctamente, la clave pública embebida en el certificado debe coincidir con la clave privada que el proveedor de identidad ha utilizado para firmar el mensaje.
¿Qué ocurre cuando caduca el certificado de un proveedor de identidad?
- Obtenga el nuevo certificado de firma del proveedor de identidad. Puede que el proveedor de identidad lo publique para la descarga de autoservicio o que deba ponerse en contacto con el administrador del proveedor de identidad.
- Cargue el nuevo certificado de firma en la configuración del dominio de identidad para el proveedor de identidad.
- Si el proveedor de identidad también ha renovado su par de claves privada/pública de firma (en lugar de volver a emitir un nuevo certificado para el par de claves existente), debe actualizar la configuración del proveedor de identidad para empezar a utilizar las nuevas claves para firmar mensajes. De nuevo, esto puede realizarse mediante autoservicio o requerir la coordinación con el administrador del proveedor de identidad.
Si el proveedor de identidad renueva su par de claves de firma, la SSO fallará durante el período de tiempo entre el paso 2 y el paso 3 anterior. Por este motivo, la actualización del certificado suele estar coordinada entre el proveedor de identidad y los administradores del dominio de identidad.
Acerca del aprovisionamiento just in time (JIT) de SAML
El aprovisionamiento just in time (JIT) de SAML automatiza la creación de cuentas de usuario cuando el usuario intenta realizar el SSO por primera vez y el usuario aún no existe en el dominio de identidad. Además de la creación automática de usuarios, JIT permite otorgar y revocar afiliaciones a grupos como parte del aprovisionamiento. JIT se puede configurar para que actualice los usuarios aprovisionados de modo que los atributos de los usuarios en el almacén del proveedor de servicios (SP) se puedan mantener sincronizados con los atributos del almacén de usuarios del proveedor de identidad (IdP).
Ventajas
- La huella de las cuentas de usuario en el dominio de identidad está limitada a los usuarios que realmente se conectan a través de una SSO federada, en lugar de a todos los usuarios del directorio de usuarios de IdP.
- Costos administrativos reducidos a medida que se crean cuentas bajo demanda como parte del proceso de SSO, y los almacenes de usuarios del proveedor de identidad y del proveedor de servicios no tienen que sincronizarse manualmente.
- Todos los usuarios nuevos agregados posteriormente al almacén de usuarios del proveedor de identidad no necesitarán que los administradores creen las cuentas del proveedor de servicios correspondiente de forma manual (los usuarios siempre estarán sincronizados).
Funcionamiento
Al conectarse, el usuario: | Flujo |
---|---|
Existe en el aprovisionamiento de SP, y el aprovisionamiento de JIT está activado. | Flujo de SSO normal. |
No existe en el aprovisionamiento de SP y JIT no está activado. | Flujo de fallo de SSO normal. |
No existe en el SP, y el usuario de creación de JIT está activado. | El usuario se crea y rellena con los atributos de afirmación de SAML, tal y como está asignado en la configuración de JIT. |
Existe en el SP, y la actualización de JIT está activada. | Los valores de atributo de usuario se actualizan con los atributos de afirmación de SAML, tal y como están asignados en la configuración de JIT. |