Mit Identitätsprovidern föderieren

Unternehmen verwenden im Allgemeinen einen Identitätsprovider (IdP) zur Verwaltung von Benutzeranmeldungen/Kennwörtern und zur Authentifizierung von Benutzern für den Zugriff auf sichere Websites, Services und Ressourcen.

Wenn ein Benutzer in Ihrem Unternehmen Oracle Cloud Infrastructure-Ressourcen in der Konsole verwenden möchte, muss er sich mit einer Benutzeranmeldung und einem Kennwort anmelden. Ihre Administratoren können mit einem unterstützten IdP föderieren, sodass jeder Mitarbeiter eine vorhandene Anmeldung und ein Kennwort verwenden kann und kein neues Set zur Verwendung von Oracle Cloud Infrastructure-Ressourcen erstellen muss.

Zur Föderation führt ein Administrator einen kurzen Prozess durch, um eine Beziehung zwischen dem IdP und Oracle Cloud Infrastructure zu einzurichten (dieser Vorgang wird im Allgemeinen als Föderationsvertrauensstellung bezeichnet). Nachdem ein Administrator diese Beziehung eingerichtet hat, wird jede Person in Ihrem Unternehmen, die zur Oracle Cloud Infrastructure-Konsole navigiert, zu einer einmaligen Benutzeranmeldung ("Single Sign-On") aufgefordert, die vom IdP bereitgestellt wird. Der Benutzer meldet sich mit den Anmelde-/Kennwortdaten an, die er bereits beim IdP eingerichtet hat. Der IdP authentifiziert den Benutzer, und dieser kann anschließend auf Oracle Cloud Infrastructure zugreifen.

Bei der Arbeit mit Ihrem IdP definiert der Administrator Gruppen und weist jeden Benutzer einer oder mehreren Gruppen entsprechend dem jeweils erforderlichen Zugriffstyp zu. Oracle Cloud Infrastructure verwendet außerdem das Konzept der Gruppen (in Verbindung mit IAM-Policys), um den Zugriffstyp für einen Benutzer zu definieren. Beim Einrichten der Beziehung mit dem IdP kann der Administrator jede IdP-Gruppe einer ähnlich definierten IAM-Gruppe zuordnen, sodass Ihr Unternehmen die IdP-Gruppendefinitionen bei der Autorisierung des Benutzerzugriffs auf Oracle Cloud Infrastructure-Ressourcen erneut verwenden kann. Im Folgenden sehen Sie einen Screenshot vom Zuordnungsprozess:

Weitere Informationen zur Anzahl der Föderationen und Gruppenzuordnungen finden Sie unter Servicelimits. Es gibt kein Limit für die Anzahl der föderierten Benutzer.

Im Folgenden finden Sie eine Liste der grundlegenden Konzepte, mit denen Sie vertraut sein müssen.

IDP

IdP ist die Kurzform von Identitätsprovider. Hierbei handelt es sich um einen Service, der identifizierende Zugangsdaten und Authentifizierung für Benutzer bereitstellt.

Mandanten, die nach dem 18. Dezember 2017 erstellt wurden, werden automatisch mit Oracle Identity Cloud Service als IdP föderiert. Oracle Cloud Infrastructure kann mit allen IdPs föderiert werden, die das SAML 2.0-Protokoll unterstützen.

SERVICE PROVIDER (SP)

Ein Service (wie eine Anwendung, eine Website usw.), der einen IdP zur Authentifizierung von Benutzern auffordert. In diesem Fall ist Oracle Cloud Infrastructure der SP.

FEDERATION TRUST

Eine Beziehung, die ein Administrator zwischen einem IdP und einem SP konfiguriert. Sie können diese Beziehung mit der Oracle Cloud Infrastructure-Konsole oder API einrichten. Danach wird der IdP mit diesem SP "föderiert". In der Konsole und der API wird der Prozess der Föderation als das Hinzufügen eines Identitätsproviders zum Mandanten betrachtet.

SAML METADATA DOCUMENT

Ein vom IdP bereitgestelltes XML-basiertes Dokument, das die erforderlichen Informationen für die Föderation eines SP mit diesem IdP bereitstellt. Oracle Cloud Infrastructure unterstützt das SAML 2.0-Protokoll, ein XML-basierter Standard zur gemeinsamen Verwendung von erforderlichen Informationen zwischen IdP und SP. Je nachdem, mit welchem IdP Sie föderieren, müssen Sie entweder die Metadaten-URL (siehe unten) für dieses Dokument angeben oder das Dokument in Oracle Cloud Infrastructure hochladen.

METADATA URL

Eine vom IdP bereitgestellte URL, mit der ein SP die erforderlichen Informationen für die Föderation mit diesem IdP abrufen kann. Oracle Cloud Infrastructure unterstützt das SAML 2.0-Protokoll, ein XML-basierter Standard zur gemeinsamen Verwendung von erforderlichen Informationen zwischen IdP und SP. Die Metadaten-URL verweist auf das SAML-Metadatendokument, das vom SP benötigt wird.

FEDERATED USER

Eine Person, die sich über einen föderierten IdP bei der Oracle Cloud Infrastructure-Konsole anmeldet.

LOCAL USER

Ein nicht föderierter Benutzer. Anders ausgedrückt, eine Person, die sich bei der Oracle Cloud Infrastructure-Konsole mit Anmelde- und Kennwortdaten anmeldet, die in Oracle Cloud Infrastructure erstellt wurden.

GROUP MAPPING

Eine Zuordnung zwischen einer IdP-Gruppe und einer Oracle Cloud Infrastructure-Gruppe, die für die Benutzerautorisierung verwendet wird.

SCIM

SCIM (System for Cross-Domain Identity Management) ist ein IETF-Standardprotokoll, das ein Benutzer-Provisioning über Identitätssysteme hinweg ermöglicht. Oracle Cloud Infrastructure hostet einen SCIM-Endpunkt für das Provisioning von föderierten Benutzern in Oracle Cloud Infrastructure. Mit einem SCIM-Client für das Provisioning von Benutzern in Oracle Cloud Infrastructure können Sie den Benutzern in Oracle Cloud Infrastructure Zugangsdaten zuweisen.

PROVISIONED (OR SYNCHRONIZED) USER

Ein Benutzer, der vom SCIM-Client des Identitätsproviders in Oracle Cloud Infrastructure bereitgestellt wird. Diese Benutzer können in der Oracle Cloud Infrastructure-Konsole aufgelistet werden und verfügen über alle Oracle Cloud Infrastructure-Benutzerzugangsdaten mit Ausnahme eines Konsolenkennworts.

Assertion verschlüsseln

Einige IdPs unterstützen die Verschlüsselung der SAML-Assertion. Wenn diese Option aktiviert ist, erwartet der Serviceprovider, dass die SAML-Assertion vom Identitätsprovider mit dem Verschlüsselungsschlüssel des Serviceproviders verschlüsselt wird. In diesem Fall ist der Serviceprovider der Oracle Cloud Infrastructure-Authentifizierungsservice. Wenn Sie dieses Feature Ihres IdP aktivieren möchten, müssen Sie das Feature auch aktivieren, wenn Sie den Federation-Provider im IAM-Service einrichten. Beachten Sie, dass Microsoft AD FS standardmäßig die Verschlüsselung der SAML-Assertion aktiviert. Wenn Ihr IdP Microsoft AD FS ist, müssen Sie dieses Feature entweder in IAM aktivieren oder für Microsoft AD FS deaktivieren.

Föderierte Benutzer können über die Konsole auf Oracle Cloud Infrastructure zugreifen (entsprechend den IAM-Policys für die Gruppen, denen die Benutzer zugeordnet sind).

Sie werden aufgefordert, ihren Oracle Cloud Infrastructure-Mandanten einzugeben (z.B. ABCCorp).

Anschließend wird eine Seite mit zwei verschiedenen Anmeldeanweisungen angezeigt: eine für föderierte Benutzer und eine für nicht föderierte Benutzer ( Oracle Cloud Infrastructure-Benutzer). Betrachten Sie hierzu den folgenden Screenshot.

Der Mandantenname wird auf der linken Seite angezeigt. Direkt darunter finden Sie den Anmeldebereich für föderierte Benutzer. Auf der rechten Seite befindet sich der Anmeldebereich für nicht föderierte Benutzer.

Föderierte Benutzer wählen, welcher Identitätsprovider für die Anmeldung verwendet werden soll, und werden dann zur Authentifizierung an den Identitätsprovider umgeleitet. Nach Eingabe der Anmeldung und des Kennworts werden sie vom IdP authentifiziert und wieder zur Oracle Cloud Infrastructure-Konsole umgeleitet.

Die föderierten Benutzer (ohne SCIM-Konfiguration) können nicht auf die Seite "Benutzereinstellungen" in der Konsole zugreifen. Auf dieser Seite kann ein Benutzer sein Konsolenkennwort ändern oder zurücksetzen und andere Oracle Cloud Infrastructure-Zugangsdaten verwalten, wie API-Signaturschlüssel und Authentifizierungstoken.

Um Identitätsprovider in Ihrem Mandanten hinzuzufügen und zu verwalten, müssen Sie über eine IAM-Policy autorisiert werden. Als Mitglied der Administratorengruppe haben Sie den erforderlichen Zugriff.

Im Folgenden finden Sie eine eingeschränktere Policy, die den Zugriff nur auf Ressourcen einschränkt, die mit Identitätsprovidern und Gruppenzuordnungen verknüpft sind:

Allow group IdPAdmins to manage identity-providers in tenancy

Allow group IdPAdmins to manage groups in tenancy

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys. Weitere Informationen zum Schreiben von Policys für Gruppen oder andere IAM-Komponenten finden Sie unter Details zu IAM ohne Identitätsdomains.

Anweisungen zum Föderieren mit anderen Identitätsprovidern finden Sie unter:

Mit Microsoft Active Directory föderieren

Mit Microsoft Azure Active Directory föderieren

Oracle Cloud Infrastructure - Okta-Konfiguration für Föderation und Provisioning (Whitepaper)

Mit SAML 2.0-Identitätsprovidern föderieren