Configurer Identity Cloud Service (IDCS) pour le SSO (Single Sign On)

Domaine d'identité ou IDCS ?

Il existe deux façons de procéder à cette configuration. Cela dépend de l'apparence de votre écran lorsque vous démarrez le processus. La plupart d'entre vous utiliseront un Domaine d'identite (Identity Domain) dans Oracle Cloud, tandis que d'autres utiliseront IDCS (cet article)..

Comment utiliser ce guide

1. Vous devriez avoir lu les étapes permettant d'activer l'authentification unique (SSO) pour les organisations payantes ou non-payantes.
2. Suivre les étapes ci-dessous pour configurer IDCS.
3. Fournir à Oracle l'identifiant du compte IDCS. Vous trouverez ci-dessous les instructions pour ce faire.
4. Une fois qu'Oracle a confirmé que le Lobby est configuré pour utiliser votre compte IDCS, vous pouvez créer un protocole de fournisseur d'identité dans IDCS.
5. Suivre les étapes restantes pour activer l'authentification unique (SSO) pour l'organisation payante ou non-payante.

Introduction

La configuration du SSO nécessite une connaissance des concepts SAML et un accès au fournisseur d'identité (IdP) de votre entreprise pour ajouter des configurations. Il s'agit généralement d'un membre de l'équipe informatique ou de gestion des identités de votre entreprise.
 

Votre IdP sera généralement un système tel que Microsoft Azure Active Directory. Vous aurez besoin d'un compte d'entreprise Oracle Identity Cloud Service (IDCS).

Une licence Foundation pour IDCS est fournie avec nos produits Cloud SaaS tels qu'Aconex. Si votre entreprise dispose déjà d'un compte IDCS (souvent parce qu'elle utilise d'autres produits Oracle), il est généralement préférable d'utiliser ce même compte pour accéder à Aconex. Si aucun compte n'est actuellement disponible, vous pouvez en créer un.

Étape 1 : Créer une nouvelle configuration pour une intégration basée sur SAML dans votre IdP.

Les détails de cette étape dépendent de votre application IdP et de votre fournisseur (Microsoft Azure Active Directory, Microsoft ADFS, Okta), mais le processus est similaire pour toutes les intégrations IdP basées sur SAML.

Suivre les instructions de votre application pour créer une nouvelle intégration basée sur SAML. Cela impliquera le téléchargement d'un fichier XML de métadonnées de fédération que vous importerez ultérieurement dans IDCS. Une fois la configuration d'IDCS terminée, vous pouvez revenir à l'écran de configuration SAML de votre IdP (il est préférable de l'ouvrir dans une autre fenêtre) et terminer le processus.

Une fois que vous disposez du fichier XML de métadonnées de la fédération, la première étape de la configuration de votre IdP est terminée. Vous reviendrez plus tard pour la terminer. Vous pouvez maintenant poursuivre la configuration de votre IDCS.

Note: pour certains IdP, il est nécessaire de renseigner l'ID d'entité (Entity ID) et l'URL de réponse (Reply URL) d'un homologue SAML (par exemple, IDCS dans ce cas). L'ID d'entité et l'URL de réponse peuvent être formés à partir de l'URL IDCS comme suit :

Entity ID: https://idcs-.identity.oraclecloud.com:443/fed

Reply URL: https://idcs-.identity.oraclecloud.com/fed/v1/sp/sso

Step 2: Configuration IDCS

Une fois que vous avez obtenu le fichier XML de métadonnées fédérées auprès de votre IdP, passez à IDCS.

1. Se connecter à la console d'administration IDCS :
   idcs-[ID].identity.oraclecloud.com/ui/v1/adminconsole (remplacer [ID] par l'identifiant de votre compte IDCS)
   Vous verrez votre tableau de bord.

2. Dans le menu, sélectionner Security puis sélectionner Identity Providers.
3. Cliquer sur +Add SAMLIDP pour créer un nouveau lien basé sur SAML vers un fournisseur d'identité.

4. Upload the Federated Metadata XML file that you downloaded from your SAML IdP in Step 1. Télécharger le fichier XML de métadonnées fédérées que vous avez téléchargé depuis votre IdP SAML à l'étape 1.

5. On the Map screen use the default values and click Next. Sur l'écran Map (Carte), utiliser les valeurs par défaut et cliquer sur Suivant.

6. Télécharger le fichier de métadonnées IDCS.
7. Revenez à votre IdP SAML pour terminer la configuration.

Étape 3 : Terminer la configuration dans votre IdP

Vous pouvez maintenant revenir à la configuration de votre service IdP.

1. Suivre la procédure de votre application IdP pour télécharger un fichier de métadonnées et télécharger le fichier XML de métadonnées fédérées que vous avez téléchargé depuis IDCS.
2. Après le téléchargement, vous devriez voir un écran indiquant les URL et d'autres informations, extraites du fichier de métadonnées.
3. Confirmer que l'identité de l'utilisateur est basée sur son adresse e-mail.
4. En règle générale, les IdP disposent de protocoles ou de groupes qui indiquent si un utilisateur est autorisé à utiliser un fournisseur SAML configuré. Vérifiez que les utilisateurs sont ajoutés à ces groupes ou protocoles dans votre IdP si nécessaire.
5. À ce stade, votre IdP et votre IDCS sont entièrement configurés et prêts à être testés. Revenez à la fenêtre IDCS et utilisez ses fonctionnalités de test.At this point both your IdP and IDCS are fully configured and ready for testing. Switch back to the IDCS window and use its test capabilities.

Étape 4 : Tester et terminer la configuration dans IDCS

1. Cliquer sur Test Login.

2. L'écran de connexion de votre IdP s'affiche. Entrer les informations d'identification valides d'un utilisateur existant dans votre IdP et configuré pour utiliser l'application SAML Federation. Un compte utilisateur avec la même adresse e-mail doit également exister dans IDCS.
3. Si la connexion test a réussi, le message suivant s'affiche :

Your connection is successful.
You may close this window and go back to the admin console.

(Votre connexion est établie.
Vous pouvez fermer cette fenêtre et revenir à la console d'administration.)

Si la connexion test a échoué, vous verrez un écran similaire à celui ci-dessous. Veuillez lire la description de l'erreur afin de modifier la configuration ou de créer les données manquantes :

Connection failed. Configuration may need to be modified.
No user was returned during the SAML assertion to user mapping via the NameID attribute for partner Azure AD: NamedID poleary@majestic.com, user attribute name userNamed, message: ***See below***.
Show Assertion Details
You may close this window and go back to the admin console.


(Échec de la connexion. La configuration doit peut-être être modifiée.
Aucun utilisateur n'a été renvoyé lors de l'assertion SAML vers le mappage utilisateur via l'attribut NameID pour le partenaire Azure AD : NamedID poleary@majestic.com, nom d'attribut utilisateur userNamed, message : ***Voir ci-dessous***.
Afficher les détails de l'assertion
Vous pouvez fermer cette fenêtre et revenir à la console d'administration.)

Étape 5 : Activer et terminer la configuration dans IDCS

1. Cliquer sur Next.
2. Cliquer sur Activate.
3. Cliquer sur Finish.

Étape 6 : Fournir à Oracle l'identifiant de votre compte IDCS.

Après avoir configuré IDCS, vous devez fournir à Oracle l'identifiant de votre compte IDCS.
Le moyen le plus simple pour cela est de coller l'URL de votre console IDCS dans le ticket. L'URL ressemblera à ceci : https://idcs-.identity.oraclecloud.com/ui/v1/myconsole

Vous ne pourrez pas  créer un protocole de fournisseur d'identité dans IDCS tant qu'Oracle n'aura pas confirmé que le Lobby est configuré pour utiliser votre compte IDCS.

Vous avez configuré IDCS avec succès.
Ensuite, vous devez créer un protocole de fournisseur d'identité dans IDCS. Note: Oracle doit avoir confirmé que le Lobby est configuré pour utiliser votre compte IDCS avant que vous ne passiez aux étapes suivantes.Oracle needs to have confirmed the Lobby is configured to use your IDCS account before you complete these next steps.