Articles apparentés

Configurer son domaine d'identité pour le SSO (Single Sign-On)

Suivre les étapes suivantes pour configurer son domaine d'identité dans le cadre de la mise en place du SSO pour son organisation.

Domaine d'identité ou IDCS?

Il y a deux façons de procéder à cette configuration en fonction de l'interface que vous utilisez pour démarrer le processus. La plupart d'entre vous utiliseront un Domaine d'identité dans Oracle Cloud (cet article), tandis que d'autres utiliseront  IDCS.

Si l'écran de votre domaine d'identité est différent, il se peut que vous utilisiez l'aperçu de Redwood. Vous pouvez le désactiver en bas à droite de l'écran.

Comment utiliser ce quide

  1. Vous devez avoir lu les étapes de l'activation de l'authentification unique (SSO) soit pour l'organisation payante ou soit pour l'organisation non payante.
  2. Suivre les étapes ci-dessous pour configurer votre domaine d'identité.
  3. Fournir à Oracle votre ID de domaine d'identité. Vous trouverez les instructions pour ce faire ci-dessous.
  4. Une fois qu'Oracle a confirmé que le Lobby est configuré pour utiliser votre domaine d'identité, alors vous pouvez créer un protocole de fournisseur d'identité (IdP)
  5. Suivre les étapes suivantes soit pour l'organistaion payante ou pour l'organisation non-payante.

 

Etape 1: Créer une nouvelle configuration pour une intégration basée sur SAML dans votre IdP

Les détails de cette étape sont spécifiques à votre application IdP et à votre fournisseur (Microsoft Azure Active Directory, Microsoft ADFS, Okta), mais pour toutes les intégrations IdP basées sur SAML, le processus est similaire.

Suivre les instructions de votre application pour créer une nouvelle intégration basée sur SAML. Cela implique le téléchargement d'un fichier XML de métadonnées de fédération que vous importerez par la suite. Une fois la configuration terminée, vous pouvez revenir à l'écran de configuration SAML de votre IdP et terminer le processus.

Une fois que vous avez le fichier XML de métadonnées de la fédération, la première étape de la configuration de votre IdP est maintenant terminée - vous reviendrez plus tard pour terminer cette étape.

Note : Votre IdP vous demande de renseigner l'ID de l'entité et l'URL de réponse du Domaine d'Identité. En fonction de votre fournisseur, vous devrez soit télécharger un fichier XML de métadonnées de fédération (Federation Metadata XML), soit saisir ces informations manuellement. 

Par exemple, l'ID de l'entité (Entity ID) et l'URL de réponse (Reply URL) peuvent être formés à partir de l'URL de votre Domaine d'Identité comme suit :

Entity ID: https://idcs-exampleid1234.identity.oraclecloud.com:443/fed
Reply URL: https://idcs-exampleid1234.identity.oraclecloud.com/fed/v1/sp/sso

Etape 2 : Naviguer vers l'écran de synthèse

  1. Se connecter à votre Oracle Cloud Console. L'écran ci-dessous apparaît.

Note

Si votre écran ne ressemble pas à celui-ci, il se peut que vous utilisiez l'IDCS. Vous devez alors suivre les instructions suivantes.

  1. Vous devez accéder à l'écran de synthèse qui se présente comme suit :

Note

Si vous voyez déjà cet écran de présentation, vous pouvez passer à la section Configuration du Domaine d'identité ci-dessous.

  1. Cliquer sur le menu en haut à gauche et sélectionner Identity & Security.
  2. Cliquer sur Domains.
  1. S'assurer que le compartiment est sélectionné et cliquer sur le lien Default dans le tableau.

Note

L'écran de synthèse s'affiche alors.

Etape 3: Configuration du domaine d'identité

  1. Dans l'écran de synthèse, cliquer sur Security.
  1. Cliquer sur Identity Providers.
  1. Sous Ajouter un IdP, cliquer sur Add SAML IdP.
  1.  Télécharger le fichier XML de métadonnées fédérées que vous avez téléchargé depuis votre IdP SAML.
  1. Sur l'écran Map, utiliser les valeurs par défaut et cliquez sur Suivant.
  1. Télécharger le fichier de métadonnées.
  2. Revenir à votre IdP SAML pour terminer la configuration.

Etape 4 : Terminer la configuration de l'IdP

Vous pouvez maintenant revenir à la configuration de votre service IdP.

  1. Suivre la procédure de votre application IdP pour charger un fichier de métadonnées et charger le fichier XML de métadonnées fédérées que vous avez téléchargé.
  2. Après le chargement, vous devriez voir un écran indiquant les URL et d'autres informations, extraites du fichier de métadonnées.
  3. Confirmer que l'identité de l'utilisateur est basée sur son adresse électronique.
  4. En général, les IdP ont des protocoles ou des groupes qui indiquent si un utilisateur est éligible pour utiliser un fournisseur SAML configuré. Confirmez que les utilisateurs sont ajoutés à ces groupes ou protocoles dans votre IdP si nécessaire.
  5. À ce stade, votre IdP et votre domaine d'identité sont entièrement configurés et prêts à être testés. Revenir à la fenêtre du domaine d'identité et utiliser ses capacités de test.

Etape 5: Tester et terminer la configuration

  1. Cliquer sur Test Login.
  1. L'écran de connexion de votre IdP s'affiche. Saisir les informations d'identification valides d'un utilisateur qui existe dans votre IdP et qui est configuré pour utiliser SAML Federation App. Un compte utilisateur avec la même adresse électronique doit également exister dans votre domaine d'identité.
  2. Si le test de connexion a réussi, le message suivant s'affiche :
Your connection is successful.

You may close this window and go back to the admin console.

Votre connexion a abouti.
Vous pouvez fermer cette fenêtre et retourner à la console d'administration.

4. Si le test de connexion a échoué, vous verrez un écran similaire à celui ci-dessous. Veuillez lire la description de l'erreur pour modifier la configuration ou créer les données manquantes :

Connection failed. Configuration may need to be modified.

No user was returned during the SAML assertion to user mapping via the NameID attribute for partner Azure AD: NamedID poleary@majestic.com, user attribute name userNamed, message: ***See below***.
Show Assertion Details
You may close this window and go back to the admin console.

La connexion a échoué. La configuration doit être modifiée.
Aucun utilisateur n'a été renvoyé lors du mappage de l'assertion SAML à l'utilisateur via l'attribut NameID pour le partenaire Azure AD : NamedID poleary@majestic.com, nom de l'attribut utilisateur userNamed, message : ***Voir ci-dessous***.
Afficher les détails de l'assertion
Vous pouvez fermer cette fenêtre et retourner à la console d'administration.

Etape 6: Activer son domaine d'identité

  1. Cliquer sur Activate et ensuite cliquer sur Finish.

Note

Note: L'activation de son domaine d'identité n'affectera pas les utilisateurs existants du Lobby. Ils peuvent continuer à se connecter au Lobby comme d'habitude.  Ce n'est qu'après avoir créé une protocole IdP que les utilisateurs verront un changement dans leur processus de connexion et seront dirigés vers le fournisseur d'identité de votre organisation.

Etape 7: Désactiver l'e-mail de bienvenue d'Oracle Cloud

Désactiver ce paramètre pour que vos utilisateurs ne reçoivent pas d'e-mail de bienvenue d'Oracle Cloud. Cet email ne les emmènera pas dans Aconex, il est donc préférable de ne pas l'envoyer.

  1. Dans l'écran de présentation de votre Oracle Cloud Console, cliquer sur Notifications
  2. Cliquer pour développer la liste des notifications de l'utilisateur final.
  3. Décocher la case « Bienvenue ».
  4. Cliquer sur Enregistrer les modifications.

Etape 8: Fournir à Oracle l'ID de votre domaine

Après avoir configuré votre domaine d'identité, vous devez fournir à Oracle l'ID de votre domaine d'identité. 

Le plus simple est de coller l'URL de votre domaine dans le ticket. L'URL ressemblera à ceci : https://idcs-<ID>.identity.oraclecloud.com/ui/v1/myconsole

Vous trouverez l'URL de votre domaine dans l'écran de synthèse.

Vous ne pourrez pas créer de Protocole de fournisseur d'identité tant qu'Oracle n'aura pas confirmé que le Lobby est configuré pour utiliser votre domaine d'identité.

Vous avez configuré avec succès votre domaine d'identité. 

Ensuite, vous devez créer un protocole de fournisseur d'identité. Note: Oracle doit avoir confirmé que le Lobby est configuré pour utiliser votre domaine d'identité avant d'effectuer les étapes suivantes.

Prochaine étape

Was this helpful?