Oracle Cloud Infrastructure - Dokumentation

Mit Microsoft Active Directory föderieren

Dieses Thema beschreibt, wie Sie über die Microsoft Active Federation Services (AD FS) mit Microsoft Active Directory föderieren können.

Hinweis

Bevor Sie die Schritte in diesem Thema ausführen, lesen Sie das Thema Mit Identitätsprovidern föderieren, um sich mit allgemeinen Konzepten der Föderation vertraut zu machen.

Mit Microsoft Active Directory föderieren

Ihre Organisation kann mehrere Active Directory-Accounts besitzen (z.B. einen für jeden Geschäftsbereich der Organisation). Sie können mehrere Active Directory-Accounts mit Oracle Cloud Infrastructure föderieren. Allerdings muss jede Föderationsvertrauensstellung für einen einzelnen Active Directory-Account eingerichtet werden.

Um mit Active Directory zu föderieren, richten Sie eine Vertrauensstellung zwischen Active Directory und Oracle Cloud Infrastructure ein. Um diese Vertrauensstellung einzurichten, sind einige Schritte in der Oracle Cloud Infrastructure-Konsole und einige Schritte in Active Directory Federation Services erforderlich.

Im Folgenden wird der allgemeine Prozess beschrieben, den ein Administrator bei der Einrichtung einer Föderation mit Active Directory durchläuft. Die Details für die einzelnen Schritte werden in den folgenden Abschnitten aufgeführt.

  1. Rufen Sie die erforderlichen Informationen von Active Directory Federation Services ab.

  2. Föderieren Sie Active Directory mit Oracle Cloud Infrastructure:

    1. Fügen Sie den Identitätsprovider (AD FS) Ihrem Mandanten hinzu, und geben Sie die erforderlichen Informationen an.
    2. Ordnen Sie die Active Directory-Gruppen IAM-Gruppen zu.
  3. Fügen Sie in Active Directory Federation Services Oracle Cloud Infrastructure als vertrauenswürdige Relying Party hinzu.
  4. Fügen Sie in Active Directory Federation Services die für die Authentifizierungsantwort von Oracle Cloud Infrastructure erforderlichen Anspruchsregeln hinzu.
  5. Testen Sie die Konfiguration, indem Sie sich mit Ihren Active Directory-Zugangsdaten bei Oracle Cloud Infrastructure anmelden.

Mit Active Directory föderieren

Voraussetzungen

Sie haben Microsoft Active Directory Federation Services für Ihr Unternehmen installiert und konfiguriert.

Sie haben Gruppen in Active Directory eingerichtet, die Gruppen in Oracle Cloud Infrastructure zugeordnet werden sollen.

Tipp

Benennen Sie Active Directory-Gruppen, die Sie Oracle Cloud Infrastructure-Gruppen zuordnen möchten, mit einem gemeinsamen Präfix, um das Anwenden einer Filterregel zu vereinfachen. Beispiel: OCI_Administrators, OCI_NetworkAdmins, OCI_InstanceLaunchers.

Schritt 1: Erforderliche Informationen von Active Directory Federation Services abrufen

Zusammenfassung: Rufen Sie das SAML-Metadatendokument und die Namen der Active Directory-Gruppen ab, die Sie Oracle Cloud Infrastructure Identity and Access Management-Gruppen zuordnen möchten.

  1. Suchen Sie das SAML-Metadatendokument für den AD FS-Föderationsserver. Standardmäßig befindet es sich unter dieser URL:

    https://<yourservername>/FederationMetadata/2007-06/FederationMetadata.xml

    Laden Sie dieses Dokument herunter, und notieren Sie sich dessen Speicherort. Sie laden dieses Dokument im nächsten Schritt in die Konsole hoch.

  2. Notieren Sie sich alle Active Directory-Gruppen, die Sie Oracle Cloud Infrastructure IAM-Gruppen zuordnen möchten. Diese müssen Sie im nächsten Schritt in die Konsole eingeben.

Schritt 2: Active Directory als Identitätsprovider in Oracle Cloud Infrastructure hinzufügen

Zusammenfassung: Fügen Sie den Identitätsprovider Ihrem Mandanten hinzu. Sie können die Gruppenzuordnungen gleichzeitig einrichten oder sie später einrichten.

  1. Gehen Sie zur Konsole, und melden Sie sich mit Ihrer Oracle Cloud Infrastructure-Anmeldung und Ihrem Kennwort an.
  2. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Föderation.
  3. Klicken Sie auf Identitätsprovider hinzufügen.

  4. Geben Sie Folgendes ein:

    1. Anzeigename: Ein eindeutiger Name für diese Föderationsvertrauensstellung. Dieser Name wird föderierten Benutzern angezeigt, wenn sie den Identitätsprovider auswählen, über den sie sich in der Konsole anmelden möchten. Der Name muss für alle Identitätsprovider, die Sie dem Mandanten hinzufügen, eindeutig sein. Sie können diese Angabe später nicht ändern.
    2. Beschreibung: Eine aussagekräftige Beschreibung.
    3. Typ: Wählen Sie "Microsoft Active Directory Federation Service-(ADFS-) oder SAML 2.0-konformer Identitätsprovider" aus.
    4. XML: Laden Sie die Datei "FederationMetadata.xml" hoch, die Sie aus Azure AD heruntergeladen haben.
    5. Klicken Sie auf Erweiterte Optionen anzeigen.

    6. Assertion verschlüsseln: Wenn Sie das Kontrollkästchen aktivieren, wird der IAM-Service informiert, dass er die Verschlüsselung von IdP erwarten kann. Aktivieren Sie dieses Kontrollkästchen nur, wenn Sie die Assertion-Verschlüsselung in Azure AD aktiviert haben.

      Um die Assertion-Verschlüsselung für diese Single-Sign-On-Anwendung in Azure AD zu aktivieren, richten Sie das SAML-Signaturzertifikat in Azure AD ein, um die SAML-Antwort und -Assertion zu signieren. Weitere Informationen finden Sie in der Azure AD-Dokumentation.

    7. Authentifizierung erzwingen: Standardmäßig aktiviert. Wenn diese Option ausgewählt ist, müssen Benutzer ihre Zugangsdaten für den IdP (erneute Authentifizierung) angeben, selbst wenn sie bereits bei einer anderen Session angemeldet sind.
    8. Klassenreferenzen für Authentifizierungskontext: Dieses Feld ist für Government Cloud-Kunden erforderlich. Wenn ein oder mehrere Werte angegeben sind, erwartet Oracle Cloud Infrastructure (die Relying Party), dass der Identitätsprovider bei der Authentifizierung des Benutzers einen der angegebenen Authentifizierungsverfahren verwendet. Die zurückgegebene SAML-Antwort vom IdP muss eine Authentifizierungsanweisung mit dieser Authentifizierungskontext-Klassenreferenz enthalten. Wenn der Authentifizierungskontext der SAML-Antwort nicht mit dem hier angegebenen Kontext übereinstimmt, lehnt der Oracle Cloud Infrastructure-Authentifizierungsservice die SAML-Antwort mit einer 400 ab. Im Menü sind mehrere allgemeine Authentifizierungskontext-Klassenreferenzen aufgelistet. Um eine andere Kontextklasse zu verwenden, wählen Sie Benutzerdefiniert aus, und geben Sie die Klassenreferenz manuell ein.
    9. Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
  5. Klicken Sie auf Weiter.

  6. Richten Sie die Zuordnungen zwischen Active Directory-Gruppen und IAM-Gruppen in Oracle Cloud Infrastructure ein. Eine bestimmte Active Directory-Gruppe kann null, einer oder mehreren IAM-Gruppen zugeordnet werden und umgekehrt. Jedoch besteht jede einzelne Zuordnung nur zwischen einer einzelnen Active Directory-Gruppe und einer einzelnen IAM-Gruppe. Änderungen an Gruppenzuordnungen werden im Allgemeinen innerhalb weniger Sekunden in der Hauptregion wirksam. Es kann jedoch mehrere Minuten dauern, bis sie an alle Regionen propagiert wurden.

    Hinweis

    Wenn Sie die Gruppenzuordnungen jetzt nicht einrichten möchten, können Sie einfach auf Erstellen klicken und die Zuordnungen später hinzufügen.

    So erstellen Sie eine Gruppenzuordnung:

    1. Geben Sie unter Identitätsprovidergruppe den Active Directory-Gruppennamen ein. Sie müssen den Namen genau eingeben, einschließlich der korrekten Groß- und Kleinschreibung.

      Wählen Sie die IAM-Gruppe, der Sie diese Gruppe zuordnen möchten, in der Liste unter OCI-Gruppe aus.

      Tipp

      Voraussetzungen für IAM Gruppennamen: Keine Leerzeichen. Zulässige Zeichen: Buchstaben, Zahlen, Bindestriche, Punkte, Unterstriche und Pluszeichen (+). Der Name kann später nicht mehr geändert werden.
    2. Wiederholen Sie die oben genannten Teilschritte für jede zu erstellende Zuordnung, und klicken Sie dann auf Erstellen.

Der Identitätsprovider wird jetzt Ihrem Mandanten hinzugefügt und in der Liste auf der Seite Föderation angezeigt. Klicken Sie auf den Identitätsprovider, um die zugehörigen Details und die Gruppenzuordnungen anzuzeigen, die Sie gerade eingerichtet haben.

Oracle weist dem Identitätsprovider und jeder Gruppenzuordnung eine eindeutige ID zu, die als Oracle Cloud-ID (OCID) bezeichnet wird. Weitere Informationen finden Sie unter Ressourcen-IDs.

In Zukunft können Sie die Seite Föderation aufrufen, wenn Sie die Gruppenzuordnungen bearbeiten oder den Identitätsprovider aus Ihrem Mandanten löschen möchten.

Schritt 3: URL zum Oracle Cloud Infrastructure-Föderations-Metadatendokument kopieren

Zusammenfassung: Auf der Seite "Föderation" wird ein Link zum Oracle Cloud Infrastructure-Föderations-Metadatendokument angezeigt. Bevor Sie Active Directory Federation Services konfigurieren, müssen Sie die URL kopieren.

  1. Klicken Sie auf der Seite "Föderation" auf Dieses Dokument herunterladen.

  2. Kopieren Sie die URL. Die URL sieht in etwa wie folgt aus:

    https://auth.r2.oracleiaas.com/v1/saml/ocid1.tenancy.oc1..aaaaaaaaqdt2tvdmhsa3jmvc5dzulgs3pcv6imfwfgdya4aq/metadata.xml

Schritt 4: In Active Directory Federation Services Oracle Cloud Infrastructure als vertrauenswürdige Relying Party hinzufügen

  1. Gehen Sie zur AD FS-Verwaltungskonsole, und melden Sie sich bei dem Account an, den Sie föderieren möchten.

  2. Fügen Sie Oracle Cloud Infrastructure als vertrauenswürdige Relying Party hinzu:

    1. Klicken Sie in der AD FS-Verwaltungskonsole mit der rechten Maustaste auf "AD FS", und wählen Sie Add Relying Party Trust aus.

    2. Klicken Sie im Add Relying Party Trust Wizard auf Start.

    3. Wählen Sie Import data about the relying party published online or on a local network aus.

      Fügen Sie die URL zum Oracle Cloud Infrastructure-Föderations-Metadatendokument ein, die Sie in Schritt 3 kopiert haben. Klicken Sie auf Next.

      AD FS stellt eine Verbindung zur URL her. Wenn beim Lesen des Föderations-Metadatendokuments ein Fehler auftritt, können Sie alternativ das XML-Dokument mit den Oracle Cloud Infrastructure-Föderationsmetadaten hochladen.

      So laden Sie das Föderations-Metadatendokument hoch
      1. Fügen Sie in einem Webbrowser die URL zum Oracle Cloud Infrastructure-Föderations-Metadatendokument in die Adressleiste ein.
      2. Speichern Sie das XML-Dokument an einem Speicherort, auf den Sie über die AD FS-Verwaltungskonsole zugreifen können.
      3. Wählen Sie im Add Relying Party Trust Wizard im Schritt Select Data Source die Option Import data about the relying party from a file aus.
      4. Klicken Sie auf Browse, und wählen Sie die Datei "metadata.xml" aus, die Sie gespeichert haben.
      5. Klicken Sie auf Next.

    4. Legen Sie den Anzeigenamen für die Relying Party (z.B. Oracle Cloud Infrastructure) fest, und klicken Sie dann auf Next.

    5. Wählen Sie I don't want to configure multifactor authentication settings for this relying party trust at now aus.

    6. Wählen Sie die entsprechenden Ausstellungsautorisierungsregeln aus, um den Zugriff auf die Relying Party für alle Benutzer zuzulassen oder abzulehnen. Wenn Sie "Deny" auswählen, müssen Sie später die Autorisierungsregeln hinzufügen, um den Zugriff für die entsprechenden Benutzer zu erlauben.

      Klicken Sie auf Next.

    7. Prüfen Sie die Einstellungen, und klicken Sie auf Next.
    8. Aktivieren Sie die Option Open the Edit Claim Rules dialog for this relying part trust when the wizard closes, und klicken Sie dann auf Close.

Schritt 5: Anspruchsregeln für die Relying Party von Oracle Cloud Infrastructure hinzufügen

Zusammenfassung: Fügen Sie die Anspruchsregeln hinzu, sodass die für Oracle Cloud Infrastructure erforderlichen Elemente (Namens-ID und Gruppen) der SAML-Authentifizierungsantwort hinzugefügt werden.

Namens-ID-Regel hinzufügen:

  1. Wählen Sie im Add Transform Claim Rule Wizard die Option Transform an Incoming Claim aus, und klicken Sie auf Next.

  2. Geben Sie Folgendes ein:

    • Claim rule name: Geben Sie einen Namen für diese Regel ein, z.B. "nameid".
    • Incoming claim type: Wählen Sie den Windows-Accountnamen aus.
    • Outgoing claim type: Wählen Sie die Namens-ID aus.
    • Outgoing name ID format: Wählen Sie "Persistent Identifier" aus.
    • Wählen Sie Pass through all claim value aus.
    • Klicken Sie auf Finish.
  3. Die Regel wird in der Liste der Regeln angezeigt. Klicken Sie auf Add Rule.

Gruppenregel hinzufügen:

Wichtig

Benutzer, die mehr als 100 IdP-Gruppen angehören, können nicht zur Verwendung der Oracle Cloud Infrastructure-Konsole authentifiziert werden. Um die Authentifizierung zu aktivieren, wenden Sie einen Filter auf die Gruppenregel an, wie unten beschrieben.
Wenn Ihre Active Directory-Benutzer nicht mehr als 100 Gruppen angehören

Gruppenregel hinzufügen:

  1. Wählen Sie unter "Claim rule template" die Option Send Claims Using a Custom Rule aus. Klicken Sie auf Next.

  2. Geben Sie im Add Transform Claim Rule Wizard Folgendes ein:

    1. Claim rule name: Geben Sie "groups" ein.

    2. Custom rule: Geben Sie die folgende benutzerdefinierte Regel ein:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);
    3. Klicken Sie auf Finish.
Wenn Ihre Active Directory-Benutzer mehr als 100 Gruppen angehören

Gruppenregel mit einem Filter hinzufügen:

Um die an Oracle Cloud Infrastructure gesendeten Gruppen einzuschränken, erstellen Sie zwei benutzerdefinierte Anspruchsregeln. Die erste Regel ruft alle Gruppen ab, zu denen der Benutzer direkt und indirekt gehört. Die zweite Regel wendet einen Filter an, um die Gruppen, die an den Serviceprovider übergeben werden, auf die Gruppen zu begrenzen, die den Filterkriterien entsprechen.

Erste Regel hinzufügen:

  1. Klicken Sie im Dialogfeld "Edit Claim Rules" auf Add Rule.
  2. Wählen Sie unter "Claim rule template" die Option Send Claims Using a Custom Rule aus. Klicken Sie auf Next.

  3. Geben Sie im Add Transform Claim Rule Wizard Folgendes ein:

    1. Claim rule name: Geben Sie einen Namen ein, z.B. "groups".

    2. Custom rule: Geben Sie die folgende benutzerdefinierte Regel ein:

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => add(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

      Beachten Sie, dass Sie in dieser benutzerdefinierten Regel add anstelle von issue verwenden. Dieser Befehl übergibt die Ergebnisse der Regel an die nächste Regel, anstatt die Ergebnisse an den Serviceprovider zu senden.

    3. Klicken Sie auf Finish.

  4. Fügen Sie nun die Filterregel hinzu.

    1. Klicken Sie im Dialogfeld "Edit Claim Rules" auf Add Rule.
    2. Wählen Sie unter "Claim rule template" die Option Send Claims Using a Custom Rule aus. Klicken Sie auf Next.

    3. Geben Sie im Add Transform Claim Rule Wizard Folgendes ein:

      1. Claim rule name: Geben Sie "groups" ein.

      2. Custom rule: Geben Sie eine geeignete Filterregel ein. Beispiel: Um nur Gruppen zu senden, die mit der Zeichenfolge "OCI" beginnen, geben Sie Folgendes ein:

        c:[Type == "https://auth.oraclecloud.com/saml/claims/groupName", Value =~ "(?i)OCI"] => issue(claim = c);

        Diese Regel filtert die Liste von der ersten Regel nur nach den Gruppen, die mit der Zeichenfolge OCI beginnen. Der Befehl issue sendet die Ergebnisse der Regel an den Serviceprovider.

        Sie können Filter mit den entsprechenden Kriterien für Ihre Organisation erstellen.

        Informationen zur AD FS-Syntax für benutzerdefinierte Regeln finden Sie im folgenden Microsoft-Dokument: Understanding Claim Rule Language in AD FS 2.0 and Higher.

      3. Klicken Sie auf Finish.

Schritt 6: IAM-Policys für die Gruppen einrichten

Falls noch nicht geschehen, richten Sie IAM-Policys ein, um den Zugriff zu kontrollieren, den die föderierten Benutzer für die Oracle Cloud Infrastructure-Ressourcen Ihrer Organisation haben. Weitere Informationen finden Sie unter Erste Schritte mit Policys und Allgemeine Policys.

Schritt 7: Föderierten Benutzern den Namen des Mandanten und die URL für die Anmeldung bereitstellen

Geben Sie föderierten Benutzern die URL für die Oracle Cloud Infrastructure-Konsole, https://cloud.oracle.com, und den Namen Ihres Mandanten. Sie werden zur Eingabe des Mandantennamens aufgefordert, wenn sie sich in der Konsole anmelden.

Identitätsprovider in der Konsole verwalten

So löschen Sie einen Identitätsprovider

Alle Gruppenzuordnungen für den Identitätsprovider werden ebenfalls gelöscht.

  1. Löschen Sie den Identitätsprovider aus Ihrem Mandanten:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Föderation.

      Eine Liste der Identitätsprovider in Ihrem Mandanten wird angezeigt.

    2. Klicken Sie auf den Identitätsprovider, um die zugehörigen Details anzuzeigen.
    3. Klicken Sie auf Löschen.
    4. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.
So fügen Sie Gruppenzuordnungen für einen Identitätsprovider hinzu

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Föderation.

    Eine Liste der Identitätsprovider in Ihrem Mandanten wird angezeigt.

  2. Klicken Sie auf den Identitätsprovider, um die zugehörigen Details anzuzeigen.

  3. Klicken Sie auf Mappings hinzufügen.

    1. Geben Sie unter Identitätsprovidergruppe den Active Directory-Gruppennamen ein. Der Name, den Sie hier eingeben, muss genau mit dem Namen in Active Directory übereinstimmen.

    2. Wählen Sie die IAM-Gruppe, der Sie diese Gruppe zuordnen möchten, in der Liste unter OCI-Gruppe aus.

    3. Um weitere Zuordnungen hinzuzufügen, klicken Sie auf + Weitere Zuordnung.
    4. Wenn Sie fertig sind, klicken Sie auf Zuordnungen hinzufügen.

Die Änderungen werden im Allgemeinen innerhalb weniger Sekunden wirksam.

So aktualisieren Sie eine Gruppenzuordnung

Sie können eine Gruppenzuordnung nicht aktualisieren, aber Sie können die Zuordnung löschen und eine neue hinzufügen.

So löschen Sie eine Gruppenzuordnung

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Föderation.

    Eine Liste der Identitätsprovider in Ihrem Mandanten wird angezeigt.

  2. Klicken Sie auf den Identitätsprovider, um die zugehörigen Details anzuzeigen.
  3. Wählen Sie die zu löschende Zuordnung aus, und klicken Sie auf Löschen.
  4. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.

Die Änderungen werden im Allgemeinen innerhalb weniger Sekunden wirksam.

Identitätsprovider in der API verwalten

Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.

Verwenden Sie die folgenden API-Vorgänge:

Identitätsprovider: Gruppenzuordnungen: