Documentación de Oracle Cloud Infrastructure

Tutorial 1: Entra ID como fuente autorizada para gestionar identidades mediante la aplicación Entra ID Gallery

Configure Entra ID como almacén de identidades autorizado para gestionar identidades en OCI IAM mediante una plantilla de aplicación de Entra ID Gallery.

  1. Configure OCI IAM para que Entra ID sea el almacén de identidades para gestionar identidades en OCI IAM. En OCI IAM, cree una aplicación confidencial.
  2. Genere un token secreto a partir del ID de cliente y el secreto de cliente del dominio de identidad de OCI IAM. Utilice esto, junto con la URL de dominio, en Entra ID.
  3. Cree una aplicación en Entra ID y utilice el token secreto y la URL de dominio de identidad para especificar el dominio de identidad de OCI IAM y pruebe que funciona transfiriendo usuarios de Entra ID a OCI IAM.
  4. Asigne los usuarios y grupos que desee aprovisionar en OCI IAM a la aplicación Entra ID.
  1. Además, instrucciones sobre cómo
    • Defina el estado federado de los usuarios para que el proveedor de identidad externo los autentique.
    • Detenga a los usuarios que reciban notificaciones por correo electrónico cuando se cree o actualice su cuenta.
1. Creación de una aplicación confidencial

En esta sección, configurará Entra ID para que actúe como gestor de identidad de modo que las cuentas de usuario se sincronicen de Entra ID a OCI IAM.

  1. En el dominio de identidad en el que está trabajando, haga clic en Aplicaciones.
  2. Haga clic en Agregar aplicación, seleccione Aplicación confidencial y haga clic en Iniciar flujo de trabajo.

    Aplicación confidencial

  3. Introduzca un nombre para la aplicación, por ejemplo, Entra ID, y haga clic en Siguiente.
  4. En Configuración del cliente, seleccione Configurar esta aplicación como un cliente ahora.

    Configurar la aplicación como un cliente

  5. En autorización, seleccione Credenciales del cliente.

    Configurar aplicación para credenciales de cliente

  6. En Tipo de cliente, seleccione Confidencial.
  7. Desplácese hacia abajo y, en la sección Política de emisión de tokens, defina Recursos autorizados en Específicos.

    Política de emisión de tokens

  8. Seleccione Agregar roles de aplicación.
  9. En la sección Roles de aplicación, haga clic en Agregar roles y, en la página Agregar roles de aplicación, seleccione Administrador de usuarios y, a continuación, haga clic en Agregar.

    Agregar roles de aplicación

  10. Haga clic en Siguiente y, a continuación, en Terminar.
  11. En la página de visión general de la aplicación, haga clic en Activar y confirme que desea activar la aplicación.

    La aplicación confidencial está activada.

2. Búsqueda de la URL de dominio y generación de un token secreto

Necesita dos partes de información para utilizar como parte de la configuración de conexión para la aplicación empresarial que cree en Entra ID:

  • La URL de dominio.
  • Un token secreto generado a partir del identificador de cliente y el secreto de cliente.
  1. Vuelva a la visión general del dominio de identidad haciendo clic en el nombre de dominio de identidad en las rutas de navegación. Haga clic en la opción Copiar situada junto a la URL de dominio en la información de dominio y guarde la URL en una aplicación donde pueda editarla.

    La información de dominio muestra dónde está la información de URL de dominio.

  2. En la aplicación confidencial de OCI IAM, haga clic en Configuración de OAuth, en Recursos.
  3. Desplácese hacia abajo y busque el ID de cliente y el Secreto de cliente en Información general.
  4. Copie el ID de cliente y almacénelo
  5. Haga clic en Mostrar secreto, copie el secreto y almacénelo.

    Identificador de cliente y secreto de cliente

    El token secreto es la codificación en base64 de <clientID>:<clientsecret> o
    base64(<clientID>:<clientsecret>)

    En estos ejemplos se muestra cómo generar el token secreto en Windows, Linux o MacOS.

    En un entorno Windows, abra CMD y utilice este comando powershell para generar la codificación base64[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    En Linux, utilice
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    En MacOS, utilice
    echo -n <clientID>:<clientsecret> | base64
    Se devolverá el token secreto. Por ejemplo,
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Anote el valor del token secreto.

3. Crear aplicación OCI en Entra ID

Configure Entra ID para permitir que Entra ID sea el almacén de identidades autorizado para gestionar identidades en IAM.

  1. En el explorador, inicie sesión en el ID de Microsoft Entra utilizando la URL:
    https://portal.azure.com
  2. Haga clic en Identidad y, a continuación, en Aplicaciones.
  3. Haga clic en Enterprise applications.

    Adición de una aplicación empresarial

  4. En la página Enterprise applications, haga clic en New application y, a continuación, en Oracle.
  5. Seleccione Oracle Cloud Infrastructure Console.

    Selección de Oracle Cloud Infrastructure Console

  6. Introduzca un nombre o acepte el valor por defecto Oracle Cloud Infrastructure Console.
  7. Haga clic en Crear.

    Creación de una aplicación de consola de OCI IAM

  8. Seleccione Provisioning en el menú de la izquierda, en Manage.

    Página de aprovisionamiento para la aplicación empresarial en el ID Entra

  9. Haga clic en Get started y cambie Provisioning Mode a Automatic.
  10. En Tenant URL, introduzca la URL de dominio de OCI IAM de 2. Búsqueda de la URL de dominio y generación de un token secreto seguida de /admin/v1. Es decir, la URL de inquilino es 
    https://<domainURL>/admin/v1
  11. Introduzca el token secreto que ha generado en 2. Búsqueda de la URL de dominio y generación de un token secreto.

    Introducción de credenciales de administración

  12. Haga clic en Probar conexión. Cuando aparece este mensaje, la conexión se ha realizado correctamente
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. Seleccione Provisioning en el menú de la izquierda, en Manage, y haga clic en Start provisioning. Se iniciará el ciclo de aprovisionamiento y se mostrará el estado del aprovisionamiento.
4. Asignación de usuarios y grupos a la aplicación Entra ID

Asigne los usuarios que desee aprovisionar en OCI IAM a la aplicación Entra ID.

  1. En En Entra ID, en el menú de la izquierda, haga clic en Enterprise applications.
  2. Haga clic en la aplicación que ha creado anteriormente, Oracle Cloud Infrastructure Console.
  3. En el menú de la izquierda, en Gestionar, haga clic en Usuarios y grupos.
  4. En la página Usuarios y Grupos, haga clic en Agregar Usuario/Grupo.
  5. En la página Agregar asignación, a la izquierda, en Usuarios y grupos, haga clic en Ninguno seleccionado.

    Se abrirá la página Usuarios y grupos.

  6. Seleccione uno o varios usuarios o grupos en la lista haciendo clic en ellos. Los que seleccione aparecerán en Selected items.

    Usuarios y grupos

  7. Haga clic en Select (Seleccionar). El número de usuarios y grupos seleccionados se muestra en la página Agregar Asignación.

    El número de usuarios y grupos que ha seleccionado se muestra en la página Agregar Asignación.

  8. En la página Add Assignment, haga clic en Assign.

    La página Usuarios y grupos muestra ahora los usuarios y grupos que ha seleccionado.

    Los usuarios y el grupo que ha seleccionado se muestran en la lista de usuarios y grupos de la aplicación.

  9. Haga clic en Provisioning en el menú de la izquierda para aprovisionar los grupos y usuarios. El log de aprovisionamiento muestra el estado.

    Log de aprovisionamiento que muestra un estado correcto.

  10. Cuando el aprovisionamiento se ha realizado correctamente, Current cycle status indica que se ha completado el ciclo incremental y se muestra el número de usuarios aprovisionados para OCI IAM.

    Se muestra el estado del aprovisionamiento, junto con el número de usuarios aprovisionados para OCI IAM

    En OCI IAM, ahora puede ver los usuarios y grupos aprovisionados desde Entra ID.

    Usuarios de Entra ID aprovisionados ahora en IAM
    Nota

    Al eliminar usuarios de la aplicación de consola de Oracle Cloud Infrastructure en Entra ID, el usuario solo se desactivará en OCI IAM.

    Los grupos de Entra ID ahora aprovisionados en IAM

5. Configuraciones adicionales para usuarios federados
  • Puede definir el estado federado de los usuarios para que el proveedor de identidad externo los autentique.
  • Puede desactivar los correos electrónicos de notificación que se envían al usuario cuando se crea o actualiza su cuenta.
a. Definición del estado federado de los usuarios

Los usuarios federados no tienen credenciales para conectarse directamente a OCI. En su lugar, se autentican mediante el proveedor de identidad externo. Si desea que los usuarios utilicen sus cuentas federadas para conectarse a OCI, defina el atributo federado en true para esos usuarios.

Para definir el estado federado del usuario:

  1. En el explorador, inicie sesión en el ID de Microsoft Entra utilizando la URL:
    https://portal.azure.com
  2. Haga clic en Identidad y, a continuación, en Aplicaciones.
  3. Haga clic en Enterprise applications.
  4. Haga clic en la aplicación que ha creado anteriormente, Oracle Cloud Infrastructure Console.
  5. En el menú de la izquierda, en Manage, haga clic en Provisioning y, a continuación, en Edit Provisioning.
  6. En la página Aprovisionamiento, haga clic en Asignaciones.

  7. En Asignaciones, haga clic en Aprovisionar usuarios de Entra ID.

  8. En Asignaciones de atributos, desplácese hacia abajo y haga clic en Agregar nueva asignación.

    Agregar nuevo campo de asignación en Asignaciones de atributo

  9. En la página Editar Atributo:
    • En Tipo de asignación, seleccione Expression.
    • En Expresión, introduzca CBool("true").
    • En Atributo de destino, seleccione urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser.

      Edición de Atributo, página

  10. Haga clic en Aceptar.
  11. En la página Asignación de atributos, haga clic en Guardar.

Ahora, cuando los usuarios se aprovisionan desde Entra ID a OCI, su estado federado se define en true. Puede ver esto en la página de perfil del usuario.

  • En la consola de OCI, vaya al dominio de identidad que está utilizando, haga clic en Usuarios y haga clic en el usuario para mostrar la información del usuario.
  • Federado se muestra como Yes.

    Información de usuario que muestra que el usuario está federado

b. Desactivar notificaciones para creación o actualizaciones de cuentas

El indicador de omisión de notificación controla si se debe enviar una notificación de correo electrónico después de crear o actualizar una cuenta de usuario en OCI. Si no desea que se notifique a los usuarios que se ha creado una cuenta para ellos, defina el indicador de omisión de notificación en true.

Para establecer el indicador de omisión de notificación:

  1. En el explorador, inicie sesión en el ID de Microsoft Entra utilizando la URL:
    https://portal.azure.com
  2. Haga clic en Identidad y, a continuación, en Aplicaciones.
  3. Haga clic en Enterprise applications.
  4. Haga clic en la aplicación que ha creado anteriormente, Oracle Cloud Infrastructure Console.
  5. En el menú de la izquierda, en Manage, haga clic en Provisioning y, a continuación, en Edit Provisioning.
  6. En la página Aprovisionamiento, haga clic en Asignaciones.

  7. En Asignaciones, haga clic en Aprovisionar usuarios de Entra ID.

    Provisionar Usuarios de Entra ID en Asignaciones, en la página Modo de Provisionamiento

  8. En Asignaciones de atributos, desplácese hacia abajo y haga clic en Agregar nueva asignación.

    Agregar nuevo campo de asignación en Asignaciones de atributo

  9. En la página Editar Atributo:
    • En Tipo de asignación, seleccione Expression.
    • En Expresión, introduzca CBool("true").
    • En Atributo de destino, seleccione urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification.

      Edición de Atributo, página

  10. Haga clic en Está bien.
  11. En la página Asignación de atributos, haga clic en Guardar.