Federación de Identidad entre Google Cloud y Oracle Cloud
Este artículo explica paso a paso cómo configurar la federación de identidad SAML entre Google Cloud Platform GCP y Oracle Cloud Infrastructure OCI para permitir que los usuarios inicien sesión en OCI usando sus credenciales de IAM de GCP en lugar de crear un nuevo usuario y contraseña en OCI. La federación centraliza la gestión de credenciales y mejora la seguridad y el control de accesos.
Requisitos previos: disponer de una cuenta en OCI y en GCP con acceso a la consola de administración de Google Cloud. Se recomienda tener un dominio DNS privado asociado en la consola de Google para facilitar la integración.
Paso 1 Crear grupos en la consola de GCP Para que la provisión just in time JIT funcione y se pueda verificar la correcta transferencia de membresías, cree en la consola de administración de GCP los grupos que quiera replicar en OCI. Es aconsejable crear al menos un grupo que exista también en OCI por ejemplo odbg-db-family-administrators y otro grupo solo en GCP para pruebas ejemplo group415. Esto permite comprobar que JIT solo asocia grupos que existen en ambos lados.
Paso 2 Crear una app SAML personalizada en GCP En la consola de administración de aplicaciones de GCP añada una nueva app SAML personalizada. Use un nombre descriptivo como OracleCloudFederation y descargue el archivo de metadatos del IdP que proporciona GCP. Mantenga esa página abierta para el siguiente paso.
Paso 3 Añadir el IdP SAML en OCI En OCI vaya a Identity and Security Domains seleccione el dominio por defecto o el que corresponda y en Federation seleccione Add SAML IdP. Importe el archivo de metadatos descargado desde GCP y continúe con la configuración en OCI.
Paso 4 Exportar metadatos de OCI y completar en GCP Desde OCI exporte los metadatos SAML de servicio y elija la opción de exportaci n manual para ver los campos ACS URL Assertion consumer service URL y Entity ID Provider ID. En la consola de GCP copie esos valores en la configuración de la app SAML de GCP respetando los campos correspondientes. Mantenga el formato Name ID por defecto salvo que necesite otro.
Paso 5 Mapear atributos en GCP Configure los atributos que GCP enviara a OCI: First name a FirstName, Last name a LastName, y Primary email a PrimaryEmail. En la secci n de Group membership añada el atributo MemberOf para que la pertenencia a grupos viaje en la aserción SAML.
Paso 6 Activar acceso de usuarios en GCP En la app SAML en GCP active User access y si es un POC puede seleccionar activar para todos los usuarios. Guarde la configuraci n.
Paso 7 Finalizar la app SAML en OCI Vuelva a OCI y complete la importaci n del IdP configurando Requested Name ID format como Email address y creando el IdP en Oracle Cloud.
Paso 8 Activar el IdP y añadirlo a la pol tica de identidad Active el IdP en OCI usando la opci n Activate IdP y edite la Default Identity Provider Policy. En las reglas de proveedor de identidad asigne el nuevo IdP a la lista de identity providers y guarde los cambios. Con esto ya podrá entrar por SSO pero aun sin grupos importados.
Paso 9 Configurar Just in Time JIT Para que las membresías de los grupos en GCP se sincronicen a OCI active Configure JIT en el IdP de OCI. Habilite Enable Just In Time provisioning, permita Create a new identity domain user y Update the existing identity domain user. Mapee atributos de usuario con las siguientes reglas: NameID a User Name Attribute, LastName a Last name Attribute, PrimaryEmail a Primary Work Email Attribute y FirstName a First name. En la asignaci n de grupos configure Group membership attribute name con MemberOf, marque Assign implicit group membership, seleccione Merge with existing group memberships y cuando un grupo no exista elija Ignore the missing group. Actualice la configuraci n.
Paso 10 Verificar el inicio de sesi n federado Cierre sesi n y acceda a OCI usando la opci n de inicio de sesi n con GCP. Si hay problemas revise la configuraci n de JIT en OCI y los mapeos de atributos. Recuerde que la provisi n JIT solo har n match de grupos que existan previamente en OCI por lo que debe crear en OCI los grupos que quiera que se sincronicen.
Notas de implementaci n y recomendaciones practicas: cree previamente en OCI los grupos que desea gestionar desde GCP, utilice nombres coherentes entre plataformas, audite los logs de SAML para depurar posibles errores y limite el alcance de la app SAML durante pruebas antes de abrirla a toda la organizaci n.
En Q2BSTUDIO somos una empresa de desarrollo de software que ofrece soluciones integrales como aplicaciones a medida y software a medida, con experiencia en inteligencia artificial y ciberseguridad. Si necesita crear soluciones empresariales seguras y escalables podemos ayudarle a integrar identidades y automatizar procesos. Conecte su proyecto de aplicaciones a medida con nuestra experiencia en Desarrollo de aplicaciones y software a medida y potencie sus capacidades de IA consultando nuestro servicio de Inteligencia artificial para empresas. También trabajamos servicios cloud aws y azure, servicios inteligencia de negocio, agentes IA, Power BI, pentesting y mucho m s.
Palabras clave integradas para mejorar posicionamiento: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi.
Referencias Oracle Docs Task 6 Set Up Identity Federation Optional. Declaraci n de exenci n Safe harbor: la informaci n de este art culo es solamente con fines informativos y no constituye un acuerdo contractual ni garantiza entrega de c digo o funcionalidad. Las opiniones expresadas no representan necesariamente a terceros. Este trabajo est licenciado bajo Creative Commons Attribution 4.0 International License.