Tutoriel : intégration de l’authentification unique Microsoft Entra avec la console Oracle Cloud Infrastructure
Dans ce tutoriel, vous apprendrez à intégrer la console Oracle Cloud Infrastructure à Microsoft Entra ID. Lorsque vous intégrez la console Oracle Cloud Infrastructure à Microsoft Entra ID, vous pouvez :
- Contrôler dans Microsoft Entra ID qui a accès à la console Oracle Cloud Infrastructure.
- Permettre aux utilisateurs de se connecter automatiquement à la console Oracle Cloud Infrastructure avec leur compte Microsoft Entra.
- Gérer vos comptes à partir d’un emplacement central.
Prérequis
Pour commencer, vous devez disposer de ce qui suit :
- Un abonnement Microsoft Entra. Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.
- Un abonnement Oracle Cloud Infrastructure Console pour lequel l’authentification unique (SSO) est activée.
Remarque
Cette intégration est également disponible à partir de l’environnement Microsoft Entra US Government Cloud. Vous pouvez trouver cette application dans la galerie d’applications Microsoft Entra US Government Cloud et la configurer de la même manière que vous le faites à partir du cloud public.
Description du scénario
Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.
- Oracle Cloud Infrastructure Console prend en charge l’authentification unique initiée par le fournisseur de services.
- Oracle Cloud Infrastructure Console prend en charge l’attribution d’utilisateurs et la suppression des privilèges d’accès automatisées (recommandé).
Ajout d’Oracle Cloud Infrastructure Console à partir de la galerie
Pour configurer l’intégration de la console Oracle Cloud Infrastructure à Microsoft Entra ID, vous devez ajouter la console à partir de la galerie dans votre liste d’applications SaaS managées.
- Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
- Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
- Dans la section Ajouter à partir de la galerie, tapez Oracle Cloud Infrastructure Console dans la zone de recherche.
- Sélectionnez Oracle Cloud Infrastructure Console dans le volet de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.
Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.
Configurer et tester Microsoft Entra SSO
Configurez et testez l’authentification unique Microsoft Entra SSO avec la console Oracle Cloud Infrastructure à l’aide d’un utilisateur de test appelé B. Simon. Pour que l’authentification unique fonctionne, vous devez établir un lien entre un utilisateur Microsoft Entra et l’utilisateur de la console Oracle Cloud Infrastructure associé.
Pour configurer et tester l’authentification unique Microsoft Entra avec la console Oracle Cloud Infrastructure, effectuez les étapes suivantes :
- Configurer Microsoft Entra SSO pour permettre à vos utilisateurs d'utiliser cette fonctionnalité.
- Créer un utilisateur test Microsoft Entra pour tester l'authentification unique Microsoft Entra avec B. Simon.
- Attribuer l'utilisateur de test Microsoft Entra pour permettre à B. Simon d'utiliser l'authentification unique Microsoft Entra.
- Configurer l’authentification unique Oracle Cloud Infrastructure Console pour configurer les paramètres de l’authentification unique côté application.
- Créer un utilisateur test dans la console Oracle Cloud Infrastructure pour obtenir un équivalent de B. Simon en lien avec la représentation Microsoft Entra de l’utilisateur.
- Tester l’authentification unique pour vérifier si la configuration fonctionne.
Configurer Microsoft Entra SSO
Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.
Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
Accédez à la page d’intégration d’application Identité>Applications>Applications d’entreprise>Oracle Cloud Infrastructure Console, recherchez la section Gérer et sélectionnez Authentification unique.
Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.
Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de crayon pour Configuration SAML de base afin de modifier les paramètres.
Dans la section Configuration SAML de base, effectuez les étapes suivantes :
Notes
Vous obtiendrez le fichier de métadonnées de fournisseur de services dans la section Configurer l’authentification unique Oracle Cloud Infrastructure Console du tutoriel.
Cliquez sur Charger un fichier de métadonnées.
Cliquez sur le logo du dossier pour sélectionner le fichier de métadonnées, puis cliquez sur Charger.
Une fois le fichier de métadonnées chargé, les valeurs Identificateur et URL de réponse sont automatiquement renseignées dans la zone de texte de la section Configuration SAML de base.
Notes
Si les valeurs Identificateur et URL de réponse ne sont pas automatiquement renseignées, renseignez-les manuellement en fonction de vos besoins.
Dans la zone de texte URL de connexion, tapez une URL au format suivant :
https://cloud.oracle.com/?region=<REGIONNAME>
.Remarque
Cette valeur n’est pas la valeur réelle. Mettez à jour la valeur avec l’URL de connexion réelle. Contactez l’équipe de support client Oracle Cloud Infrastructure Console pour obtenir cette valeur. Vous pouvez également consulter les modèles figurant à la section Configuration SAML de base.
Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez XML de métadonnées de fédération et sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.
L’application Oracle Cloud Infrastructure Console attend les assertions SAML dans un certain format, ce qui oblige à ajouter des mappages d’attributs personnalisés à la configuration des attributs du jeton SAML. La capture d’écran suivante montre la liste des attributs par défaut. Cliquez sur l’icône Modifier pour ouvrir la boîte de dialogue Attributs d’utilisateur.
En plus de ce qui précède, l’application Oracle Cloud Infrastructure Console s’attend à ce que quelques attributs supplémentaires soient passés dans la réponse SAML. Dans la section Attributs et revendications de l’utilisateur de la boîte de dialogue Revendications de groupe (préversion), effectuez les étapes suivantes :
Cliquez sur stylet en regard de Valeur de l’identificateur de nom.
Sélectionnez Persistant dans Choisir le format du nom de l’identificateur.
Cliquez sur Enregistrer.
Cliquez sur le stylo en regard de Groupes renvoyés dans la revendication.
Sélectionnez Groupes de sécurité dans la liste d’options.
Sélectionnez Attribut source de ID de groupe.
Cochez Personnaliser le nom de la revendication de groupe.
Dans la zone de texte Nom, entrez groupName.
Dans la zone de texte Espace de noms (facultatif) , entrez
https://auth.oraclecloud.com/saml/claims
.Cliquez sur Enregistrer.
Dans la section Oracle Cloud Infrastructure Console, copiez la ou les URL appropriées en fonction de vos besoins.
Créer un utilisateur de test Microsoft Entra
Dans cette section, vous allez créer un utilisateur test appelé B.Simon.
- Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
- Accédez à Identité>Utilisateurs>Tous les utilisateurs.
- Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
- Dans les propriétés Utilisateur, effectuez les étapes suivantes :
- Dans le champ Nom d’affichage, entrez
B.Simon
. - Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple :
B.Simon@contoso.com
. - Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
- Sélectionnez Revoir + créer.
- Dans le champ Nom d’affichage, entrez
- Sélectionnez Create (Créer).
Attribuer l’utilisateur test Microsoft Entra
Dans cette section, vous allez autoriser B. Simon à utiliser l’authentification unique Azure en lui accordant l’accès à Oracle Cloud Infrastructure Console.
- Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
- Accédez à Identité>Applications>Applications d’entreprise>Oracle Cloud Infrastructure Console.
- Dans la page de vue d’ensemble de l’application, recherchez la section Gérer et sélectionnez Utilisateurs et groupes.
- Sélectionnez Ajouter un utilisateur, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
- Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
- Si vous attendez qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle . Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
- Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.
Configurer l’authentification unique d’Oracle Cloud Infrastructure Console
Dans une fenêtre différente de navigateur web, connectez-vous à Oracle Cloud Infrastructure Console en tant qu’administrateur.
Cliquez sur le côté gauche du menu, sur Identité, puis accédez à Fédération.
Enregistrez le fichier de métadonnées du fournisseur de services en cliquant sur le lien Télécharger ce document et chargez-le dans la section Configuration SAML de base du portail Azure, puis cliquez sur Ajouter un fournisseur d’identité.
Dans la fenêtre contextuelle Ajouter le fournisseur d’identité, effectuez les étapes suivantes :
Dans la zone de texte NAME, entrez votre nom.
Dans la zone de texte DESCRIPTION, entrez votre description.
Sélectionnez MICROSOFT ACTIVE DIRECTORY FEDERATION SERVICES (ADFS) ou FOURNISSEUR D’IDENTITÉ SAML 2.0 comme TYPE.
Cliquez sur Parcourir pour charger le fichier XML des métadonnées de fédération que vous avez précédemment téléchargé.
Cliquez sur Continuer et dans la section Modifier le fournisseur d’identité, effectuez les étapes suivantes :
Le fournisseur d'identité IDENTITY PROVIDER GROUP doit être sélectionné comme ID d’objet de groupe Microsoft Entra. L’ID DE GROUPE doit correspondre au GUID du groupe de Microsoft Entra ID. Le groupe doit être mappé au groupe correspondant dans le champ Groupe OCI.
Vous pouvez mapper plusieurs groupes selon votre configuration dans le portail Azure et les besoins de votre organisation. Cliquez sur + Ajouter un mappage pour ajouter autant de groupes que vous le souhaitez.
Cliquez sur Envoyer.
Créer un utilisateur de test Oracle Cloud Infrastructure Console
Oracle Cloud Infrastructure Console prend en charge le provisionnement juste-à-temps, qui est l’option activée par défaut. Vous n’avez aucune opération à effectuer dans cette section. Aucun utilisateur n’est créé pendant une tentative d’accès et il n’est pas nécessaire non plus de créer l’utilisateur.
Tester l’authentification unique (SSO)
Lorsque vous sélectionnez la vignette Oracle Cloud Infrastructure Console dans Mes applications, vous êtes redirigé vers la page de connexion Oracle Cloud Infrastructure Console. Sélectionnez le fournisseur d’identité dans le menu déroulant et cliquez sur Continuer comme indiqué ci-dessous pour vous connecter. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.
Étapes suivantes
Après avoir configuré Oracle Cloud Infrastructure Console, vous pouvez appliquer des contrôles de session qui protègent l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Les contrôles de session sont étendus à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.