Oracle Cloud 帳戶內跨識別網域設定服務間的 SSO

在單一 Oracle Cloud 帳戶內,您可能會在不同的識別網域中部署多個服務。若要提供順暢的使用者體驗,您可以在這些識別網域之間設定單一登入 (SSO)。

範例案例

假設您使用的是 Oracle Fusion Suite,其中包含 Fusion ERP 和 Oracle Fusion Cloud Enterprise Performance Management 服務,每個服務都設定在個別識別網域中。您可以透過在網域之間設定 SSO,以啟用跨網域無縫存取:

  • Fusion ERP 作為身分識別提供者
  • Cloud EPM 作為服務提供者

在本主題中,我們將逐步引導您設定此案例的 SSO:

步驟 1 - 開啟每個網域的個別階段作業

首先,使用兩個個別的瀏覽器階段作業,登入每個識別網域的 Oracle Cloud Console。例如,如果您使用 Google Chrome,可以用一般模式開啟一個階段作業,同時用無痕模式開啟另一個階段作業。這可讓您同時開啟兩個主控台,一個用於來源網域,另一個用於目標網域。

以下步驟會引導您登入來源網域。您可以在另一個瀏覽器中重複這些步驟,以登入目標網域。

  1. 透過使用識別網域登入選項分別存取每個網域。
    透過網域登入
  2. 在網域中輸入您的證明資料。您可以使用多重因素驗證方法登入主控台。請參閱啟用多重因素驗證
    使用 MFA 驗證

步驟 2 - Fusion ERP 網域 - 下載 Fusion ERP 中繼資料

  1. 在 Fusion ERP 網域中,前往導覽功能表,搜尋識別,然後選取網域
    搜尋網域

  2. 選取 Fusion ERP 網域,以檢視網域詳細資料。
  3. 導覽至聯合頁籤。
  4. 選取匯出 SAML 中繼資料
    匯出 SAML 中繼資料

  5. 下載中繼資料檔案。您將使用此檔案在 EPM 網域中將 Fusion ERP 設定為 IdP。
    下載中繼資料

步驟 3 - EPM 網域 - 將 Fusion ERP 設定為身分識別提供者

Cloud EPM 網域中將 Fusion ERP 服務設定為信任的身分識別提供者。

  1. Cloud EPM 網域中,前往導覽功能表,搜尋識別,然後選取網域
  2. 選取 Cloud EPM 網域,以檢視網域詳細資料頁面。
    EPM 網域

  3. 在「EPM 網域」頁面上,導覽至聯合頁籤。
  4. 按一下動作,選取新增 SAML IdP,然後在工作流程中提交任務。
    新增 SAML IdP

  5. 任務 1 - 新增詳細資料:
    • 名稱:輸入 SAML IdP 的名稱。
    • (選擇性) 描述:輸入 IdP 的描述。
    • (選擇性) 身分識別提供者圖示:拖放某個受支援的影像,或是按一下選取一個以瀏覽至該影像。

    新增詳細資料 SAML IdP

  6. 按一下下一步
  7. 任務 2 - 交換中繼資料:
    1. 選取匯入 IdP 中繼資料
    2. 按一下拖放檔案或選取檔案,以上傳您從 Fusion ERP 下載的中繼資料檔案。
      匯入中繼資料

  8. 按一下下一步
  9. 任務 3 - 對映使用者識別。設定參照影像中顯示的欄位:
    對映使用者識別
  10. 按一下下一步
  11. 複查並建立頁面上,驗證輸入的詳細資料。按一下建立 IdP

    Fusion ERP 服務會列在聯合頁籤中的身分識別提供者下。

  12. 選取您剛才建立的 Fusion ERP 服務身分識別提供者,以開啟詳細資料頁面。
    開啟詳細資料頁面

  13. 按一下服務提供者中繼資料旁的下載
  14. 向下捲動,然後按一下服務提供者簽署憑證旁的下載

步驟 4 - Fusion ERP 網域 - 新增 Cloud EPM 作為整合的應用程式

  1. 在「Fusion ERP 網域」頁面上,前往整合的應用程式頁籤。
  2. 按一下新增應用程式
    新增整合的應用程式

  3. 在「新增應用程式」頁面上,選取 SAML 應用程式
  4. 按一下啟動工作流程
    SAML 應用程式啟動工作流程

  5. 提供名稱和其他詳細資料,然後按一下提交
    提交 SAML 應用程式

  6. 設定 SSO。
    1. 導覽至 SAML SSO 組態頁籤。
    2. 按一下編輯 SSO 組態
      編輯 SSO 組態

    3. 一般下,輸入您在上一個區段下載的服務提供者中繼資料值。請參閱步驟 3 - EPM 網域 - 將 Fusion ERP 設定為身分識別提供者。以下列方式對映欄位:
      • 實體 ID - 提供者 ID
      • 宣告用戶 URL - 宣告用戶服務 URL
      • 單一登出 URL - 登出服務端點 URL
      • 登出服務傳回 URL - 登出服務傳回 URL
    4. 設定其他 SSO 設定值:
    5. 按一下儲存變更
  7. 將使用者指派給應用程式。
    1. 導覽至使用者頁籤。
    2. 按一下指派使用者
      指派使用者

    3. 按一下動作,然後從功能表中,選取啟動
    4. 搜尋並選取要指派此應用程式的使用者,然後按一下指派

步驟 5 - EPM 網域 - 驗證 SAML SSO

  1. 在「EPM 網域」頁面上,使用您的身分識別提供者驗證 SAML SSO。
    1. 按一下頂端的動作,然後從功能表中選取測試登入
      使用 MFA 驗證

    2. 使用您的證明資料進行驗證,以測試連線。

      如果成功,將會顯示訊息:「您的連線成功。」
      連線成功

  2. 啟動身分識別提供者,以便識別網域可以使用它。按一下動作,然後從功能表中選取啟動 IdP
    動作功能表

  3. 接下來,將身分識別提供者指派給 IdP 原則,使其顯示在識別網域登入頁面上。
    1. 按一下動作,然後從功能表中選取新增至 IdP 原則
    2. 向下捲動,在身分識別提供者原則下選取要指派的原則。
      身分識別提供者原則

    3. 按一下「預設身分識別提供者原則」。
      預設 IdP 原則
    4. 導覽至身分識別提供者規則頁籤。
    5. 按一下 IdP 規則旁的省略符號,然後選取編輯 IdP 規則。
      編輯 IdP 規則

    6. 編輯身分識別提供者規則頁面的指派身分識別提供者下拉清單中,選取 Fusion ERP IdP使用者名稱-密碼
      編輯身分識別提供者規則
    7. 按一下儲存變更
  4. 按一下頂端的「設定檔」圖示,然後選取登出
  5. 導覽至 EPM 網域中的「登入主控台」頁面。Fusion ERP IdP 按鈕會顯示在底部。
    使用底部的 Fusion ERP IdP 登入 ERP

步驟 6 - Fusion ERP 網域 - 測試 SSO

  1. 登入 Fusion ERP 網域。

  2. 在個別的瀏覽器視窗中,導覽至 Cloud EPM 環境 URL。

  3. 系統提示進行驗證時,選取 SSO (單一登入) 提供者。

    您將自動登入 Cloud EPM 環境,無需重新輸入您的證明資料。