Documentación de Oracle Cloud Infrastructure

Aprovisionamiento JIT de ADFS a OCI IAM

En este tutorial, configurará el aprovisionamiento Just-In-Time (JIT) entre OCI y Microsoft ADFS, donde ADFS actúa como IdP.

Puede configurar el aprovisionamiento de JIT para que se puedan crear identidades en el sistema de destino durante el tiempo de ejecución, a medida que realizan una solicitud de acceso al sistema de destino.

En este tutorial se tratan los siguientes pasos:

  1. Actualice las configuraciones de usuario de confianza en ADFS.
  2. Actualice el ADFS IdP en OCI IAM para JIT.
  3. Pruebe que puede aprovisionar usuarios desde ADFS a OCI IAM.
Nota

Este tutorial es específico de IAM con dominios de identidad.
Antes de empezar

Para realizar este tutorial, debe tener lo siguiente:

  • Una cuenta de pago de Oracle Cloud Infrastructure (OCI) o una cuenta de prueba de OCI. Consulte Cuenta gratuita de Oracle Cloud Infrastructure.
  • Rol de administrador de dominio de identidad para el dominio de identidad de OCI IAM. Consulte Understanding Administrator Roles.
  • Una instalación de ADFS.
    Nota

    En este tutorial se describe el uso del software ADFS proporcionado con Microsoft Windows Server 2016 R2.
  • Además, debe verificar que:
    • Existe el mismo usuario en OCI y ADFS.
    • ADFS está funcionando.
1. Actualización de las configuraciones de usuario de confianza en ADFS
  1. Abra la utilidad de gestión de ADFS. Por ejemplo, en la utilidad Server Manager de Windows 2016, haga clic en Herramientas y, a continuación, en Microsoft Active Directory Federation Services Management.
  2. En ADFS, haga clic en Fideicomisos de usuario de confianza.
  3. Haga clic con el botón derecho en Relying Partying Trust que configuró anteriormente para OCI denominado OCI IAM en el tutorial SSO entre OCI y ADFS.
  4. Seleccione Editar política de emisión de reclamación.
  5. Edite la reclamación de correo electrónico para agregar tres reglas de reclamación adicionales para Nombre, Apellidos y Grupo.

    Atributo de nombre:

    • Atributo de LDAP: Given-Name
    • Tipo de reclamación saliente: Given Name

    Atributo de nombre:

    • Atributo de LDAP: Surname
    • Tipo de reclamación saliente: Surname

    Atributo de grupo:

    • Atributo de LDAP: Token-Groups - Unqualified Names
    • Tipo de reclamación saliente: Group
  6. Haga clic en Aceptar en la página de reglas y, a continuación, en Aceptar de nuevo.

Puede agregar atributos adicionales que se adapten a los requisitos de su negocio, pero solo los necesita para este tutorial.

2. Actualización de ADFS IdP en OCI IAM

En la consola de OCI IAM, configure el ADFS IdP para JIT.

  1. Abra un explorador soportado e introduzca la URL de la consola:

    https://cloud.oracle.com

  2. Introduzca su Nombre de cuenta de nube, también conocido como su nombre de arrendamiento, y haga clic en Siguiente.
  3. Seleccione el dominio de identidad que se utilizará para configurar SSO.
  4. Inicie sesión con su nombre de usuario y contraseña.
  5. Abra el menú de navegación y haga clic en Identidad y seguridad.
  6. En Identidad, haga clic en Dominios.
  7. Seleccione el dominio de identidad en el que ya ha configurado ADFS como IdP en el paso 1 del tutorial "SSO entre OCI y ADFS".
  8. Haga clic en Seguridad en el menú de la izquierda y, a continuación, en Proveedores de identidad.
  9. Haga clic en ADFS IdP.
    Nota

    Este es el ADFS IdP que ha creado como parte del tutorial SSO entre OCI y ADFS.
  10. En la página IdP de ADFS, haga clic en Configurar JIT.
  11. En la página de aprovisionamiento de configuración a tiempo (JIT):
    • Seleccione Activar aprovisionamiento Just-In-Time (JIT).
    • Seleccione Crear un nuevo usuario de dominio de identidad.
    • Seleccione Actualizar usuario de dominio de identidad existente.

    Activar aprovisionamiento a tiempo

  12. En Asignar atributos de usuario:
    1. Deje la primera fila de NameID sin cambios.
    2. Para otros atributos, en atributo de usuario IdP, seleccione Attribute.
    3. Proporcione el nombre de atributo de usuario IdP de la siguiente manera:
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Haga clic en Agregar fila:
      • En atributo de usuario IdP, seleccione Attribute.
      • Para el nombre de atributo de usuario IdP, introduzca http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

      Asignación de atributos entre ADFS y OCI IAM

  13. Seleccione Asignar asignación de grupo.
  14. Introduzca el nombre de atributo de miembros del grupo. Utilice http://schemas.xmlsoap.org/claims/Group.
  15. Seleccione Definir asignaciones de miembros de grupo explícitas.
  16. En IdP, el nombre de grupo se asigna al nombre de grupo de dominios de identidad, haga lo siguiente:
    • En IdP Nombre de grupo, proporcione el nombre del grupo en ADFS que estará presente en la afirmación de SAML enviada por ADFS.
    • En Nombre de grupo de dominio de identidad, en OCI IAM, seleccione el grupo en OCI IAM que se va a asignar al grupo correspondiente en ADFS.

      Asignar asignaciones de grupos

  17. En Reglas de asignación, seleccione lo siguiente:
    1. Al asignar miembros de grupo: Fusionar con miembros de grupo existentes
    2. Cuando no se encuentra un grupo: Ignore the missing group
    Nota

    Seleccione opciones según los requisitos de su organización.
  18. Haga clic en Guardar cambios.
3. Probar Provisionamiento de JIT entre ADFS y OCI
En esta sección, puede probar que el aprovisionamiento de JIT funciona entre ADFS y OCI IAM
  1. En ADFS, cree un usuario en ADFS que no exista en OCI IAM.
  2. Reinicie el explorador e introduzca la URL de la consola para acceder a la consola de OCI:

    cloud.oracle.com

  3. Introduzca el Nombre de cuenta en la nube, también conocido como el nombre del arrendamiento, y haga clic en Siguiente.
  4. Seleccione el dominio de identidad en el que se ha activado la configuración de JIT.
  5. En las opciones de inicio de sesión, haga clic en ADFS.

    Icono de ADFS en la página de conexión

  6. En la página de conexión de ADFS, proporcione las credenciales del usuario recién creado.
  7. En una autenticación correcta, se crea una cuenta para el usuario en OCI IAM y el usuario se conecta a la consola de OCI.

    Puede ver el nuevo usuario en el dominio de OCI y verificar que tiene los mismos atributos de identidad y afiliaciones a grupos que ha introducido.

Siguiente paso

¡Enhorabuena! Ha configurado correctamente el aprovisionamiento de JIT entre ADFS y OCI IAM.

Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: