Documentación de Oracle Cloud Infrastructure

SSO entre OCI y el ID de Microsoft Entra

En este tutorial, configure SSO entre OCI IAM y Microsoft Entra ID, utilizando Entra ID como proveedor de identidad (IdP).

En este tutorial de 30 minutos se muestra cómo integrar OCI IAM, que actúa como proveedor de servicios (SP), con Entra ID, que actúa como IdP. Al configurar la federación entre Entra ID y OCI IAM, permite el acceso de los usuarios a servicios y aplicaciones en OCI mediante credenciales de usuario que Entra ID autentica.

En este tutorial se trata la configuración de Entra ID como IdP para OCI IAM.

  1. En primer lugar, descargue los metadatos del dominio de identidad de OCI IAM.
  2. En los siguientes pasos, cree y configure una aplicación en Entra ID.
  3. En Entra ID, configure la conexión única con OCI IAM utilizando los metadatos.
  4. En ID interno, edite los atributos y las reclamaciones para que el nombre de correo electrónico se utilice como identificador para los usuarios.
  5. En Entra ID, agregue un usuario a la aplicación.
  6. Para los siguientes pasos, vuelva al dominio de identidad para finalizar la configuración y a configuration.In OCI IAM, actualice la política IdP por defecto para agregar el ID de Entra.
  7. Pruebe que la autenticación federada funciona entre OCI IAM y Entra ID.
Nota

Este tutorial es específico de IAM con dominios de identidad.
Antes de empezar

Para realizar este tutorial, debe tener lo siguiente:

  • Una cuenta de pago de Oracle Cloud Infrastructure (OCI) o una cuenta de prueba de OCI. Consulte Cuenta gratuita de Oracle Cloud Infrastructure.

  • Rol de administrador de dominio de identidad para el dominio de identidad de OCI IAM. Consulte Understanding Administrator Roles.
  • Una cuenta de Entra ID con uno de los siguientes roles de Entra ID:
    • Administración global
    • Administrador de aplicación en la nube
    • Administrador de aplicación
Nota

El usuario utilizado para la conexión única (SSO) debe existir en OCI IAM y en el ID de Entra para que funcione SSO. Después de completar este tutorial sobre la conexión única, hay otro tutorial, Gestión del ciclo de vida de identidades entre OCI IAM y Entra ID. Este otro tutorial le guiará a través de cómo aprovisionar cuentas de usuario de Entra ID a OCI IAM o de OCI IAM a Entra ID.
1. Obtención de los metadatos del proveedor de servicios desde OCI IAM

Necesita los metadatos de SP del dominio de identidad de OCI IAM para importarlos a la aplicación SAML Entra ID que cree. OCI IAM proporciona una URL directa para descargar los metadatos del dominio de identidad que está utilizando. Para descargar los metadatos, siga estos pasos.

  1. Abra un explorador soportado e introduzca la URL de la consola:

    https://cloud.oracle.com.

  2. Introduzca su Nombre de cuenta en la nube, también conocido como el nombre de arrendamiento, y haga clic en Siguiente.
  3. Seleccione el dominio de identidad al que desea conectarse. Este es el dominio de identidad que se utiliza para configurar la conexión única, por ejemplo Default.
  4. Inicie sesión con su nombre de usuario y contraseña.
  5. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
  6. Haga clic en el nombre del dominio de identidad en el que desea trabajar. Puede que necesite cambiar el compartimento para buscar el dominio que desee. A continuación, haga clic en Configuración y, a continuación, en Configuración de dominio.
  7. En Acceder a certificado de firma, compruebe Configurar acceso de cliente.

    Esto permite a un cliente acceder a la certificación de firma del dominio de identidad sin conectarse al dominio.

  8. Haga clic en Guardar cambios.

    Configuración del acceso de cliente en la página Valores de dominio

  9. Vuelva a la visión general del dominio de identidad haciendo clic en el nombre del dominio de identidad en la ruta de navegación. Haga clic en la opción Copiar situada junto a la URL de dominio en la información de dominio y guarde la URL en una aplicación donde pueda editarla.

    La información de dominio muestra dónde está la información de URL de dominio.

  10. En un nuevo separador del explorador, pegue la URL que ha copiado y agregue /fed/v1/metadata al final.

    Por ejemplo:

    https://idcs-<unique_ID>.identity.oraclecloud.com:443/fed/v1/metadata
  11. Los metadatos del dominio de identidad se mostrarán en el explorador. Guárdelos como un archivo XML con el nombre OCIMetadata.xml.
2. Creación de una aplicación empresarial de Entra ID

Para los siguientes pasos, trabajará en Entra ID.

Cree una aplicación empresarial SAML en el ID Entra.

  1. En el explorador, inicie sesión en Microsoft Entra utilizando la dirección URL:
    https://entra.microsoft.com
  2. Haga clic en Identidad y, a continuación, en Aplicaciones.
  3. Haga clic en Enterprise applications y, a continuación, en New application.
  4. En Buscar aplicaciones, escriba Oracle Cloud Infrastructure Console.
  5. Haga clic en el mosaico Consola de Oracle Cloud Infrastructure por Oracle Corporation.
  6. Introduzca un nombre para la aplicación, por ejemplo, Oracle IAM, y haga clic en Create.

    La aplicación empresarial se crea con el ID Entra.

3. Configuración de la conexión única para la aplicación empresarial Entra ID

Configure SSO para la aplicación SAML de Entra ID y descargue los metadatos SAML de Entra ID. En esta sección, utilizará el archivo de metadatos del SP de OCI IAM que ha guardado en 1. Obtención de los metadatos del proveedor de servicios desde OCI IAM.

  1. En la página Introducción, haga clic en Introducción en Configurar conexión única.
  2. Haga clic en SAML y, a continuación, en Cargar archivo de metadatos (botón situado en la parte superior de la página). Busque el archivo XML que contiene los metadatos del dominio de identidad de OCI, OCIMetadata.xml.
  3. Proporcione la URL de conexión. Por ejemplo, 
    https://idcs-<domain_ID>.identity.oraclecloud.com/ui/v1/myconsole
  4. Haga clic en Guardar.
  5. Cierre la página Upload metadata file en la X situada en la parte superior derecha. Si se le pregunta si desea probar la aplicación ahora, elija no hacerlo ya que la probará más adelante en este tutorial.
  6. En la página Configurar conexión única con SAML, desplácese hacia abajo y, en el certificado de firma de SAML, haga clic en Descargar junto a XML de metadatos de federación.
  7. Cuando se le solicite, seleccione Save File. Los metadatos se guardarán automáticamente con el nombre de archivo por defecto <your_enterprise_app_name>.xml. Por ejemplo, OracleIAM.xml.

    Página SSO basada en SAML de Entra ID

4. Edición de atributos y reclamaciones

Edite los atributos y las reclamaciones de la nueva aplicación SAML de Entra ID para que se utilice la dirección de correo electrónico del usuario como nombre de usuario.

  1. En la aplicación empresarial, en el menú de la izquierda, haga clic en Single login.
  2. En Attributes and Claims, haga clic en Edit.
  3. Haga clic en la reclamación necesaria: 
    Unique User Identifier (Name ID) = user.mail [nameid-format:emailAddress]
  4. En la página Manage claim, cambie user.userprinciplename a user.mail en el atributo Source.

    Atributos de ID y reclamaciones adicionales

  5. Haga clic en Guardar.

Configuraciones adicionales de ID interno

En En Entra ID, puede filtrar grupos según el nombre del grupo o el atributo sAMAccountName.

Por ejemplo, supongamos que solo se debe enviar el grupo Administrators mediante SAML:

  1. Haga clic en la reclamación de grupo.
  2. En Reclamaciones de grupo, expanda Opciones avanzadas.
  3. Seleccione Grupos de filtros.
    • Para Atributo que coincida, seleccione Display Name.
    • Para Coincidir con, seleccione contains.
    • Para Cadena, proporcione el nombre del grupo, por ejemplo, Administrators.

    Filtro para grupos

Con esta opción, incluso si el usuario del grupo de administradores forma parte de otros grupos, Entra ID solo envía el grupo Administradores en SAML.
Nota

Esto ayuda a las organizaciones a enviar solo los grupos necesarios a OCI IAM desde Entra ID.
5. Adición de un usuario de prueba a la aplicación Entra ID

Cree un usuario de prueba para la aplicación Entra ID. Posteriormente, este usuario puede utilizar sus credenciales de Entra ID para conectarse a la consola de OCI.

  1. En el centro de administración de Microsoft Entra, haga clic en Identidad, Usuarios y, a continuación, en Todos los usuarios.
  2. Haga clic en New user, Create new user, cree un usuario e introduzca su identificador de correo electrónico.
    Nota

    Asegúrese de utilizar los detalles de un usuario presente en OCI IAM con el mismo identificador de correo electrónico.
  3. Vuelva al menú de la aplicación de empresa. En Getting Started, haga clic en Assign users and groups. También puede hacer clic en Users (Usuarios) en Manage (Gestionar) en el menú de la izquierda.
  4. Seleccione Agregar usuario/grupo y, en la página siguiente, en Usuarios, haga clic en None Selected.
  5. En la página Users, haga clic en el usuario de prueba que ha creado. Al seleccionarla, el usuario aparecerá en Seleccionados. Haga clic en Seleccionar.
  6. De vuelta en la página Add Assignment, haga clic en Assign.
6. Activar Entra ID como IdP para OCI IAM

Para estos pasos, trabajará en OCI IAM.

Agregue el ID de Entra como IdP para OCI IAM. En esta sección, utilice el archivo de metadatos Entra ID que guardó en 3. Configure la conexión única para la aplicación empresarial Entra ID, por ejemplo, Oracle IAM.xml.

  1. En la consola de OCI del dominio en el que está trabajando, haga clic en Seguridad y, a continuación, en Proveedores de identidad.
  2. Haga clic en Agregar IdP y, a continuación, en Agregar IDP de SAML.
  3. Introduzca un nombre para SAML IdP, por ejemplo, Entra ID. Haga clic en Siguiente.
  4. Asegúrese de que Importar metadatos de proveedor de identidad está seleccionado, busque y seleccione, o arrastre y suelte el archivo XML de metadatos de Entra ID, Oracle IAM.xml en Metadatos de proveedor de identidad. Este es el archivo de metadatos que ha guardado durante el 3. Configuración de la conexión única para la aplicación empresarial Entra ID. Haga clic en Siguiente.
  5. En Asignar identidad de usuario, defina lo siguiente
    • En Formato NameID solicitado, seleccione Email address.
    • En Atributo de usuario de proveedor de identidad, seleccione el ID SAML assertion Name.
    • En Atributo de usuario de dominio de identidad, seleccione Primary email address.

    Atributos de proveedor de identidad SAML

  6. Haga clic en Siguiente.
  7. En Review and Create, verifique las configuraciones y haga clic en Create IdP.
  8. Haga clic en Activar.
  9. Haga clic en Agregar a IdP Regla de política.

  10. Haga clic en Política de proveedor de identidad por defecto para abrirla, haga clic en el menú Acciones (Menú Acciones) y haga clic en Editar regla IdP.

    El menú contextual muestra "Editar regla de proveedor de identidad"

  11. Haga clic en Asignar proveedores de identidad y, a continuación, en Entra ID para agregarlo a la lista.

    agregación de Entra ID como proveedor de identidad en la regla IdP por defecto

  12. Haga clic en Guardar cambios.
7. Probar SSO entre Entra ID y OCI
En esta sección, puede probar que la autenticación federada funciona entre OCI IAM y Entra ID.
Nota

Para que esto funcione, el usuario que se utiliza para SSO debe estar presente tanto en OCI IAM como en Entra ID. Además, el usuario debe estar asignado a la aplicación de OCI IAM creada en Entra ID.

Para ello, existen dos métodos:

  • Puede crear manualmente un usuario de prueba tanto en OCI IAM como en Entra ID.
  • Sin embargo, si desea realizar pruebas con un usuario en tiempo real, debe configurar el aprovisionamiento entre Entra ID y OCI IAM siguiendo los pasos del tutorial, Identity Lifecycle Management Between OCI IAM and Entra ID.
Si no ha configurado usuarios para probar este tutorial, se mostrará el siguiente error
Sorry, but we're having trouble signing you in.
AADSTS50105: Your administrator has configured 
the application application-name ('<unique_ID>')
to block users unless they are specifically granted
('assigned') access to the application.

Pruebe el SSO iniciado por el SP.

  1. Abra un explorador soportado e introduzca la URL de la consola de OCI:

    https://cloud.oracle.com.

  2. Introduzca su Nombre de cuenta de nube, también conocido como su nombre de arrendamiento, y haga clic en Siguiente.
  3. Seleccione el dominio de identidad en el que se ha configurado la federación Entra ID.
  4. En la página de inicio de sesión, se muestra una opción para iniciar sesión con ID. de Entra.

    Página de conexión de OCI IAM

  5. Seleccione Entra ID. Se le dirigirá a la página de conexión de Microsoft.
  6. Proporcione sus credenciales de Entra ID.
  7. Cuando la autenticación se realiza correctamente, se conectará a la consola de OCI.
Siguiente paso

¡Enhorabuena! Ha configurado correctamente SSO entre Entra ID y OCI IAM.

Si ya tenía un usuario creado en Entra ID y asignado a la aplicación, que se ha aprovisionado para OCI IAM, ha podido probar que la autenticación de federación funciona entre OCI IAM y Entra ID. Si no tenía este usuario, puede crear uno siguiendo uno de los tutoriales de Gestión del ciclo de vida de identidades entre OCI IAM e ID de Entra.

Para obtener más información sobre el desarrollo con productos Oracle, consulte estos sitios: