要将 Azure AD 配置为身份提供程序 (IdP),请完成以下操作:
- 在 Azure AD 中添加 Oracle Cloud Infrastructure 控制台作为企业应用程序。
- 将 Azure AD 用户分配给 Oracle IDCS 企业应用程序。
- 为 Oracle Identity Cloud Service 中的企业应用程序设置 SSO.
有关完成以下配置步骤的详细步骤和说明,请参阅 Azure 文档。
在 Azure AD 中添加 Oracle Cloud Infrastructure 控制台作为企业应用程序。
- 访问 "Azure Sign in" 页面并登录。
- 在主页上,单击 Azure Active Directory。
- 在左侧导航窗格上单击 Manage 下的 Enterprise applications。
- 单击 New application。此时将显示 Browse Azure AD Gallery 屏幕,其中列出 Oracle 云平台。
- 单击 Oracle 以显示可用的 Oracle 云平台列表。
- 单击 Oracle Cloud Infrastructure Console。
- 在 Name 中,输入名称,然后单击 Create 以添加 Oracle Cloud Infrastructure 实例作为 Azure 企业应用程序。
此时将显示企业应用程序属性的 "Overview" 页面。
![Oracle Cloud Infrastructure 控制台企业应用程序概览 Oracle Cloud Infrastructure 控制台企业应用程序概览](img/sso_azure_idp_2.png)
将 Azure AD 用户分配给 Oracle IDCS 企业应用程序
只有这些用户可以登录 Azure AD 并联合到
Oracle Enterprise Performance Management Cloud。此外,您还可以分配用户组。这些用户或组必须存在于 Azure Active Directory 中。
- 在 Oracle Cloud Infrastructure Console 应用程序的左侧导航窗格中,单击 Manage 下的 Users and groups。或者,在您的企业应用程序的 "Overview" 页面中,单击 Assign users and groups
- 单击 Add user/group。
- 在 Users 下,单击 None Selected 以打开 Users屏幕。选择要分配给应用程序的 Azure AD 用户并单击 Select。
- 单击 Assign 将选中的用户分配给应用程序。
为 Oracle Identity Cloud Service 中的企业应用程序设置 SSO
- 在左侧导航窗格中,单击 Single sign on
- 在 Select a single sign-on method 中,单击 SAML。
此时将打开 Set up Single Sign-on with SAML 屏幕。
![Oracle Cloud Infrastructure 控制台企业应用程序的基本 SAML 配置设置 Oracle Cloud Infrastructure 控制台企业应用程序的基本 SAML 配置设置](img/sso_azure_idp_3.png)
- 输入基本 SAML 配置详细信息。
您应在此步骤中输入的信息是在 Oracle Identity Cloud Service 中配置 SAML 时生成的。
- 单击 Basic SAML Configuration 部分中的 Edit。
- 在 Basic SAML Configuration 页中,使用 Oracle Identity Cloud Service 输入 SSO 设置。
Note:
您需要作为基本 SAML 设置输入的 Oracle Identity Cloud Service 设置遵循这种可预测模式。
https://idcs-CUSTOMER_IDENTIFIER.identity.oraclecloud.com:443/fed
CUSTOMER_IDENTIFIER 是特定于您的租户的唯一字母数字字符串。它是 Oracle Identity Cloud Service URL 的一部分。例如,如果登录 URL 是 https://idcs-01e711f676d2e4a3e456a112cf2f031a9.identity.oraclecloud.com/ui/v1/signin,则 CUSTOMER_IDENTIFIER 为 01e711f676d2e4a3e456a112cf2f031a9,它用于派生 SAML 配置设置。在此假设示例中,标识符(实体 ID)将为 https://idcs-01e711f676d2e4a3e456a112cf2f031a9.identity.oraclecloud.com:443/fed
要查看您的租户的所有已知
Oracle Identity Cloud Service 配置设置,请输入您的
Oracle Identity Cloud Service URL 并附加
/.well-known/idcs-configuration。例如,
https://idcs-01e711f676d2e4a3e456a112cf2f031a9.identity.oraclecloud.com/.well-known/idcs-configuration。
- Identifier (Entity ID):为您的组织设置 Oracle Identity Cloud Service 时设置的提供程序 ID。
示例:https://idcs-CUSTOMER_IDENTIFIER.identity.oraclecloud.com:443/fed
Note:
选中
Default 复选框以指示这是默认标识符。
- Reply URL:Oracle Identity Cloud Service 中的端点,它将处理来自 Azure AD 的传入 SAML 断言。也称为断言使用者服务 URL,配置 Oracle Identity Cloud Service 时设置此值。
示例:https://idcs-CUSTOMER_IDENTIFIER.identity.oraclecloud.com:443/fed/v1/sp/sso
- Sign on URL:EPM 云登录页面的 URL,用于执行 Azure AD 启动的 SSO。
示例:https://idcs-CUSTOMER_IDENTIFIER.identity.oraclecloud.com:443/fed/v1/sp/sso
- Logout URL:来自 Oracle Identity Cloud Service 的注销服务 URL。
示例:https://idcs-CUSTOMER_IDENTIFIER.identity.oraclecloud.com:443/fed/v1/sp/slo
- 单击 Save。
- 关闭 Basic SAML Configuration 页面
- 在 Set up Single Sign-On with SAML 屏幕中,输入用户属性和申请:
- 单击 Attributes & Claims 中的 Edit。
- 在 Claim name 下,单击 Unique User Identifier (Name ID),选择源属性值,例如 user.mail。此值应该与 Oracle Identity Cloud Service 中指定的请求的 NameID 格式匹配。
- 单击 Save。
- 关闭 Manage claim 和 Attributes & Claims 页面。
- 下载 Azure 元数据文件。
- 在 Set up Single Sign-On with SAML 屏幕中的 SAML Signing Certificate 部分中,单击 Federation Metadata XML 旁边的 Download。
- 按照屏幕上的提示将元数据文件保存到可从 Oracle Identity Cloud Service 访问的本地目录。