Documentación de Oracle Cloud Infrastructure

Aprovisionamiento JIT de Entra ID a OCI IAM

En este tutorial, configurará el aprovisionamiento Just-In-Time (JIT) entre la consola de OCI y el ID de Entra, utilizando Entra ID como IdP.

Puede configurar el aprovisionamiento de JIT para que se puedan crear identidades en el sistema de destino durante el tiempo de ejecución, a medida que realizan una solicitud de acceso al sistema de destino.

En este tutorial se tratan los siguientes pasos:

  1. Configure el ID de Entra IdP en OCI IAM para JIT.
  2. Actualice la configuración de la aplicación OCI IAM en Entra ID.
  3. Pruebe que puede aprovisionar desde Entra ID a OCI IAM.
Nota

Este tutorial es específico de IAM con dominios de identidad.
Antes de empezar

Para realizar este tutorial, debe tener lo siguiente:

  • Una cuenta de pago de Oracle Cloud Infrastructure (OCI) o una cuenta de prueba de OCI. Consulte Cuenta gratuita de Oracle Cloud Infrastructure.

  • Rol de administrador de dominio de identidad para el dominio de identidad de OCI IAM. Consulte Understanding Administrator Roles.
  • Una cuenta de Entra ID con uno de los siguientes roles de Entra ID:
    • Administración global
    • Administrador de aplicación en la nube
    • Administrador de aplicación

Además, debe haber completado el tutorial SSO Entre OCI y Microsoft Entra ID y recopilado el ID de objeto de los grupos que va a utilizar para el aprovisionamiento de JIT.

1. Configurar atributos de SAML enviados por ID de Entra

Para que el aprovisionamiento de JIT funcione, se deben configurar los atributos SAML adecuados y necesarios, que se enviarán en la afirmación SAML a OCI IAM mediante Entra ID.

  1. En el explorador, inicie sesión en el ID de Microsoft Entra utilizando la URL:
    https://entra.microsoft.com
  2. Vaya a Aplicaciones empresariales.
  3. Haga clic en la aplicación Consola de Oracle Cloud Infrastructure.
    Nota

    Esta es la aplicación que ha creado como parte de SSO entre OCI y Microsoft Entra ID.
  4. En el menú de la izquierda, haga clic en Single login.
  5. En la sección Atributos y reclamaciones, haga clic en Editar.
  6. Verifique que los atributos están configurados correctamente:
    • NameID
    • Email Address
    • First Name
    • Last Name

    Si necesita nuevas reclamaciones, agréguelas.

  7. Anote todos los nombres de reembolso configurados. Por ejemplo,

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    es el nombre de reclamación de First Name.

    Atributos y reclamaciones

  8. Navegue a Grupos. Verá todos los grupos disponibles en Entra ID.
  9. Anote los ID de objeto de los grupos que desean formar parte de SAML para enviarlos a OCI IAM.

    Detalles de grupo en ID interno

Configuraciones adicionales de ID interno

En En Entra ID, puede filtrar grupos según el nombre del grupo o el atributo sAMAccountName.

Por ejemplo, supongamos que solo se debe enviar el grupo Administrators mediante SAML:

  1. Haga clic en la reclamación de grupo.
  2. En Reclamaciones de grupo, expanda Opciones avanzadas.
  3. Seleccione Grupos de filtros.
    • Para Atributo que coincida, seleccione Display Name.
    • Para Coincidir con, seleccione contains.
    • Para Cadena, proporcione el nombre del grupo, por ejemplo, Administrators.

    Filtro para grupos

Con esta opción, incluso si el usuario del grupo de administradores forma parte de otros grupos, Entra ID solo envía el grupo Administradores en SAML.
Nota

Esto ayuda a las organizaciones a enviar solo los grupos necesarios a OCI IAM desde Entra ID.
2. Configuración de atributos JIT en OCI IAM

En OCI IAM, actualice el ID de Entra IdP para JIT.

  1. Abra un explorador soportado e introduzca la URL de la consola:

    https://cloud.oracle.com

  2. Introduzca su Nombre de cuenta de nube, también conocido como su nombre de arrendamiento, y haga clic en Siguiente.
  3. Seleccione el dominio de identidad que se utilizará para configurar SSO.
  4. Inicie sesión con su nombre de usuario y contraseña.
  5. Abra el menú de navegación y haga clic en Identidad y seguridad.
  6. En Identidad, haga clic en Dominios.
  7. Seleccione el dominio de identidad en el que ya ha configurado el ID de Entra como IdP.
  8. Haga clic en Seguridad en el menú de la izquierda y, a continuación, en Proveedores de identidad.
  9. Haga clic en Entra ID IdP.
    Nota

    Este es el ID de entrada IdP que ha creado como parte de SSO entre OCI y Microsoft Entra ID.
  10. En la página Entra ID IdP, haga clic en Configure JIT.

    Página de configuración para el proveedor de identidad de Entra ID en IAM

  11. En la página de aprovisionamiento de configuración a tiempo (JIT):
    • Seleccione Aprovisionamiento de Justo a Tiempo (JIT).
    • Seleccione Crear un nuevo usuario de dominio de identidad.
    • Seleccione Actualizar usuario de dominio de identidad existente.

    Activar aprovisionamiento a tiempo

  12. En Asignar atributos de usuario:
    1. Deje la primera fila de NameID sin cambios.
    2. Para otros atributos, en atributo de usuario IdP, seleccione Attribute.
    3. Proporcione el nombre de atributo de usuario IdP de la siguiente forma
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Haga clic en Agregar fila e introduzca: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

      Para el atributo de usuario del dominio de identidad, seleccione First name.

      Nota

      El nombre mostrado completo (FQDN) es de 1. Configure los atributos de SAML enviados por ID de Entra.

    En este diagrama se muestra el aspecto que deben tener los atributos de usuario en OCI IAM (a la derecha) y la asignación de atributos de usuario entre Entra ID y OCI IAM.

    Asignación de atributos de usuario entre Entra ID y OCI IAM

  13. Seleccione Asignar asignación de grupo.
  14. Introduzca el nombre de atributo de afiliación de grupo: http://schemas.microsoft.com/ws/2008/06/identity/claims/groups.
  15. Seleccione Definir asignaciones de miembros de grupo explícitas.
  16. En IdP Nombre de grupo, proporcione el ID de objeto del grupo en el ID Entra del paso anterior.
  17. En Nombre de grupo de dominio de identidad y seleccione el grupo en OCI IAM al que asignar el grupo de Entra ID.

    Asignar asignaciones de grupos

    En este diagrama se muestra el aspecto que deben tener los atributos de grupo en OCI IAM (a la derecha) y la asignación de atributos de grupo entre Entra ID y OCI IAM.

    Asignación de atributos de grupo entre Entra ID y OCI IAM

  18. En Reglas de asignación, seleccione lo siguiente:
    1. Al asignar miembros de grupo: Fusionar con miembros de grupo existentes
    2. Cuando no se encuentra un grupo: ignore el grupo que falta

    definición de reglas de asignación

    Nota

    Seleccione opciones según los requisitos de su organización.
  19. Haga clic en Guardar cambios.
3. Probar aprovisionamiento de JIT entre Entra ID y OCI
En esta sección, puede probar que el aprovisionamiento de JIT funciona entre Entra ID y OCI IAM.
  1. En la consola de Entra ID, cree un nuevo usuario con un ID de correo electrónico que no esté presente en OCI IAM.

  2. Asigne el usuario a los grupos necesarios.

    asignar usuario a grupos

  3. En el explorador, abra la consola de OCI.
  4. Seleccione el dominio de identidad en el que se ha activado la configuración de JIT.
  5. Haga clic en Siguiente.
  6. En las opciones de conexión, haga clic en Entra ID.
  7. En la página de inicio de sesión de Microsoft, introduzca el ID de usuario recién creado.

    Página de conexión a Microsoft

  8. Al realizar la autenticación correcta desde Microsoft:
    • La cuenta de usuario se crea en OCI IAM.
    • El usuario está conectado a la consola de OCI.

    Mi perfil en OCI IAM para el usuario

  9. Seleccione el menú Perfil (Icono de menú de perfil), que se encuentra en la parte superior derecha de la barra de navegación en la parte superior de la página y, a continuación, haga clic en Mi perfil. Compruebe las propiedades del usuario, como el ID de correo electrónico, el nombre, los apellidos y los grupos asociados.

    Comprobar propiedades de usuario en OCI IAM

Siguiente paso

¡Enhorabuena! Ha configurado correctamente el aprovisionamiento de JIT entre Entra ID y OCI IAM.

Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: