Benutzerzugangsdaten in SSO-fähigen EPM Cloud-Umgebungen verwalten

Nachdem Sie Single Sign-On (SSO) in Ihren Umgebungen aktiviert haben, erhalten Sie sowohl mit Classic Oracle Enterprise Performance Management Cloud als auch mit OCI EPM Cloud zwei Anmeldeoptionen: Unternehmensanmeldung (SSO) und traditionelle Cloud-Accountanmeldung.

Einige Oracle EPM Cloud-Clientkomponenten, z.B. EPM Agent und EPM Automate, funktionieren aber nicht mit den SSO-Zugangsdaten, die Sie für den Zugriff auf die Netzwerkressourcen Ihrer Organisation verwenden. In einigen Fällen möchten Sie unter Umständen verhindern, dass Benutzer sich mit der traditionellen Cloud-Accountanmeldung anmelden, und nur die SSO-Anmeldung zulassen.

Hier wird beschrieben, wie Sie festlegen, dass bestimmte Benutzer sich nur mit SSO-Anmeldung anmelden können.

Classic-Umgebungen

In Classic EPM Cloud-Umgebungen können Benutzer sich standardmäßig nur mit SSO-Zugangsdaten anmelden, es sei denn, Identitätsdomainzugangsdaten wurden für sie konfiguriert. In diesem Fall werden Classic-Benutzern beide Anmeldeoptionen angezeigt, wenn sie in einem Browser auf eine Umgebung zugreifen. Allen anderen Benutzern wird nur die SSO-Option angezeigt.

So ändern Sie einen Classic-Benutzeraccount, damit Zugangsdaten für die Identitätsdomain verwaltet werden können:

  1. Melden Sie sich als Identitätsdomainadministrator bei Meine Services (Classic) an. Informationen hierzu finden Sie unter Auf "Meine Services" zugreifen.
  2. Klicken Sie auf Benutzer.
  3. Klicken Sie auf Aktion neben dem Benutzer, dessen Account geändert werden soll, damit er Zugangsdaten für die Identitätsdomain verwalten kann. Wählen Sie anschließend Ändern aus.
  4. Wählen Sie die Option zum Verwalten von Zugangsdaten für die Identitätsdomain aus.
  5. Klicken Sie auf Speichern.

OCI-Umgebungen

SSO-aktivierte OCI EPM Cloud-Umgebungen verwalten die Identitätsdomainzugangsdaten automatisch. Wenn OCI EPM Cloud-Benutzer in einem Browser auf eine Umgebung zugreifen, werden ihnen standardmäßig beide Anmeldeoptionen angezeigt. Führen Sie die folgenden Schritte aus, wenn Sie festlegen möchten, dass Browserbenutzer nicht die Option für die traditionelle Cloud-Accountanmeldung, sondern nur die SSO-Option erhalten.

OCI-Kunden, die die Oracle Cloud Identity-Konsole verwenden:
  1. Melden Sie sich bei Meine Services (OCI) an. Informationen hierzu finden Sie unter Auf "Meine Services" (OCI) zugreifen.
  2. Greifen Sie auf Oracle Cloud Identity Console zu. Informationen hierzu finden Sie unter Oracle Cloud Identity-Konsole (IDCS) aufrufen.
  3. Blenden Sie das Slide-in-Menü ein, und klicken Sie auf Sicherheit, IDP-Policys.
  4. Klicken Sie auf der Seite Identitätsprovider-Policys rechts neben der Standardidentitätsprovider-Policy auf das Menü Aktion, und wählen Sie Bearbeiten aus.
  5. Um die der Policy zugewiesenen IdPs anzuzeigen, klicken Sie auf Identitätsproviderregeln.
    1. Klicken Sie auf das Menü Aktion für die Standard-IdP-Regel, und wählen Sie Bearbeiten aus.
    2. Scrollen Sie nach unten zum Abschnitt Zulässige Identitätsprovider, und entfernen Sie die Option für Benutzername/Kennwort aus dem Feld Identitätsprovider zuweisen.
  6. Klicken Sie auf Speichern.

OCI-Kunden, die die Oracle Cloud-Konsole (IAM) verwenden:

  1. Melden Sie sich bei der Oracle Cloud-Konsole (IAM) an. Informationen hierzu finden Sie unter Auf die Oracle Cloud-Konsole (IAM) zugreifen.
  2. Klicken Sie auf Sicherheit, IdP-Policys.
    IdP-Policy
  3. Klicken Sie auf die Standard-IdP-Policy.
  4. Um die der Policy zugewiesenen IdPs anzuzeigen, klicken Sie unter Ressourcen auf Identitätsproviderregeln.
  5. Wählen Sie die IdP-Policy-Regel aus, und klicken Sie daneben auf das Aktionsmenü IdP-Regel bearbeiten.
    Standard-IdP-Policy bearbeiten
  6. Entfernen Sie den Eintrag für Benutzername-Kennwort aus dem Feld Identitätsprovider zuweisen.
  7. Klicken Sie auf Änderungen speichern.

E-Mails zum Kennwortablauf verhindern

Wenn die Zugangsdaten der Benutzer in der Identitätsdomain gespeichert sind, erhalten diese E-Mails zum Kennwortablauf, wenn diese Kennwörter abgelaufen sind. Wenn Sie SSO mit einem IdP eingerichtet haben, nachdem diese Benutzer erstellt wurden, und die Zugangsdaten für diese Benutzer nicht in der Identitätsdomain gespeichert werden und sie keine E-Mails zum Kennwortablauf erhalten sollen, müssen Sie diese Benutzer löschen und nach der SSO-Aktivierung erneut erstellen.