Autenticazione SAML su OpenVPN con domini OCI IAM Identity

Guida per integrare l'autenticazione SAML nel tuo server OpenVPN usando OCI IAM Identity Domains.
Domini IAM Identity
Domini IAM Identity

La gestione di identita’ e accessi e’ un obiettivo cruciale in un’organizzazione che cresce.

Oltre alla necessita’ di semplificare la gestione degli utenti e migliorare la sicurezza, l’integrazione con servizi esterni diventa sempre piu’ rilevante.

Oracle OCI offre un servizio completo per gestire identita’ e accesso chiamato IAM with Identity Domains .

Nel dettaglio:

Un identity domain e’ un contenitore per gestire utenti e ruoli, federare e fare provisioning degli utenti, integrare applicazioni tramite Oracle Single Sign-On (SSO) e amministrare provider SAML/OAuth. Rappresenta una popolazione di utenti in Oracle Cloud Infrastructure e le relative impostazioni di sicurezza, come MFA.

In questo post vediamo come integrare l’autenticazione con MFA di OpenVPN Access Server usando un dominio OCI IAM Identity.

Per ridurre la complessita’ dello scenario, utenti e password sono creati direttamente in un nuovo dominio IAM separato, senza integrazione con directory esterne.

Partiamo da un’istanza gia’ creata per l’appliance OpenVPN sul servizio OCI Compute .

Il primo passaggio e’ creare il dominio nel servizio IAM dal menu Identity & Security -> Domains.

In questo scenario non dobbiamo sincronizzare utenti da una directory esterna, come AD o LDAP, e il tipo gratuito e’ sufficiente. In un workload aziendale reale e’ invece consigliato il dominio Oracle App Premium.

Tipi di dominio IAM Identity

Segui i form e inserisci i dettagli dell’account principale. Dopo pochi secondi la directory viene creata con il tuo utente come primo utente.

Ora devi recuperare alcuni dati dalla console amministrativa di OpenVPN e salvarli.

Salva SP Identity e SP ACS dalla sezione SAML della console web amministrativa di OpenVPN.

SP Identity e ACS

Copia anche il certificato SP in un file locale chiamato certificate.pem dalla stessa pagina.

Certificato SP

Per integrare OpenVPN Access Server dobbiamo aggiungere una nuova applicazione nel dominio.

Nuova applicazione

Scegli l’applicazione SAML:

Applicazione

Inserisci il nome e, opzionalmente, un’icona personalizzata. Premi Next; le altre opzioni sono facoltative.

Aggiunta di una applicazione SAML

Inserisci Entity ID e Assertion Consumer URL, carica il file certificate.pem salvato prima e premi Finish.

Configurazione dell’applicazione SAML

Scarica il file dei metadati IdP dal pulsante del dominio IAM Identity.

Download dei metadati IdP

Carica il file dei metadati scaricato dal dominio IAM Identity nella sezione IdP della pagina SAML di OpenVPN.

Import del file metadati IdP

La configurazione SAML e’ completa.

Attiva l’autenticazione SAML nella sezione OpenVPN per abilitarla.

Ora puoi provare l’autenticazione SAML dalla pagina web di OpenVPN.

Domande frequenti

Cos'è OCI IAM Identity Domains?

OCI IAM Identity Domains è il servizio di gestione delle identità enterprise di Oracle Cloud Infrastructure. Gestisce il ciclo di vita degli utenti, il single sign-on (SSO), l'autenticazione multi-fattore e l'integrazione con provider di identità esterni tramite SAML 2.0 o OIDC.

Posso usare SAML per aggiungere MFA a OpenVPN su Oracle Cloud?

Sì. Puoi configurare OpenVPN per delegare l'autenticazione a OCI IAM Identity Domains via SAML 2.0. Gli utenti si autenticano tramite il portale Identity Domain, che può applicare policy MFA prima di concedere l'accesso VPN.

OCI IAM Identity Domains è disponibile nel Free Tier?

OCI IAM Identity Domains è incluso senza costi in tutte le tenancy OCI per le funzionalità di gestione identità di base. Il Free Tier include fino a 2 Identity Domain con SSO e MFA.

Approfondimenti correlati