Mit Microsoft Azure Active Directory föderieren

Zusammenfassung: Auf der Seite "Föderation der Oracle Cloud Infrastructure-Konsole" wird ein Link zum Metadatendokument der Oracle Cloud Infrastructure-Föderation angezeigt. Bevor Sie die Anwendung in Azure AD einrichten, müssen Sie das Dokument herunterladen.

1. Navigieren Sie zur Seite Föderation: Öffnen Sie das Navigationsmenü , und wählen Sie Identität & Sicherheit aus. Wählen Sie unter Identität die Option Föderation aus.

2. Wählen Sie auf der Seite "Föderation" die Option Dieses Dokument herunterladen.

   

   Nachdem Sie den Link ausgewählt haben, wird das Dokument metadata.xml im Browserfenster geöffnet. Verwenden Sie den Befehl Ihres Browsers Seite speichern unter, um das XML-Dokument lokal zu speichern, damit Sie später darauf zugreifen können.

1. Wählen Sie im Azure-Portal im linken Navigationsbereich Azure Active Directory aus.

2. Wählen Sie im Bereich Azure Active Directory die Option Enterprise applications aus. Ein Beispiel für die Anwendungen in Ihrem Azure AD-Mandanten wird angezeigt.

3. Wählen Sie oben im Bereich Alle Anwendungen die Option Neue Anwendung.
4. Geben Sie im Bereich Add from gallery Oracle Cloud Infrastructure Console in das Suchfeld ein.

5. Wählen Sie die Oracle Cloud Infrastructure-Konsolenanwendung in den Ergebnissen aus.

6. Im anwendungsspezifischen Formular können Sie Informationen zur Anwendung bearbeiten. Beispiel: Sie können den Namen der Anwendung bearbeiten.

7. Nachdem Sie die Eigenschaften bearbeitet haben, wählen Sie Erstellen aus.

   Die erste Seite wird mit den Optionen zur Konfiguration der Anwendung für Ihre Organisation angezeigt.

1. Wählen Sie im Abschnitt Manage die Option Single sign-on aus.

   

2. Wählen Sie SAML aus, um Single Sign-On zu konfigurieren. Die Seite Set up Single Sign-On with SAML wird angezeigt.

3. Wählen Sie oben in der Seite die Option Metadatendatei hochladen aus.

   

4. Suchen sie die Föderationsmetadatendatei (metadata.xml), die Sie in Schritt 1 aus Oracle Cloud Infrastructure heruntergeladen haben, und laden sie hierher hoch. Nachdem Sie die Datei hochgeladen haben, werden die folgenden Felder im Abschnitt Basic SAML Configuration automatisch ausgefüllt:

   • "Identifier" (Entity-ID)
   • "Reply URL" (Assertion Consumer Service-URL)

5. Wählen Sie im Abschnitt Basic SAML Configuration die Option Edit aus. Füllen Sie im Bereich Basic SAML Configuration das folgende Pflichtfeld aus:

   • Sign on URL: Geben Sie die URL in folgendem Format ein:

     https://cloud.oracle.com

     

6. Wählen Sie Speichern aus.

Die Geschäftsanwendungsvorlage der Oracle Cloud Infrastructure-Konsole ist mit den erforderlichen Attributen vorausgefüllt. Daher müssen Sie nichts hinzufügen. Sie müssen jedoch folgende Anpassungen vornehmen:

1. Wählen Sie im Abschnitt User Attributes & Claims in der oberen rechten Ecke die Option Edit. Der Bereich Claim verwalten wird angezeigt.

2. Wählen Sie neben dem Feld Name-ID-Wert die Option Bearbeiten aus.

   • Wählen Sie unter Required Claim die Option "Unique User Identifier (Name ID)" aus.
   • Wählen Sie E-Mail-Adresse, und ändern Sie die Adresse in Persistent.
   • Wählen Sie unter Source die Option "Attribute" aus.

   • Wählen Sie für das Source attribute den Wert "user.userprincipalname" aus.

     

   • Wählen Sie Speichern aus.

3. Wählen Sie Gruppenanspruch hinzufügen aus.

4. Konfigurieren Sie im Fensterbereich Gruppenansprüche Folgendes:

   • Wählen Sie "Security groups" aus.
   • Source attribute: Wählen Sie "Group ID" aus.
   • Wählen Sie unter Advanced Options Customize the name of the group claim aus.

   • Geben Sie im Feld Name Folgendes ein: "groupName".

     Stellen Sie sicher, dass Sie "groupName" genau in dieser Schreibweise unter Beachtung der Groß- und Kleinschreibung eingeben.

   • Geben Sie im Feld Namespace Folgendes ein: https://auth.oraclecloud.com/saml/claims

     
   • Wählen Sie Speichern aus.

1. Wählen Sie im Abschnitt SAML Signing Certificate auf den Downloadlink neben Federation Metadata XML.

2. Laden Sie dieses Dokument herunter, und notieren Sie sich dessen Speicherort. Sie laden dieses Dokument in die Konsole im nächsten Schritt hoch.

Damit sich die Azure AD-Benutzer bei Oracle Cloud Infrastructure anmelden können, müssen Sie die entsprechenden Benutzergruppen Ihrer neuen Unternehmensanwendung zuweisen.

1. Wählen Sie im linken Navigationsbereich unter Manage die Option Users and Groups aus.
2. Wählen Sie oben in der Liste Users and Groups die Option Add, um den Bereich Add Assignment zu öffnen.

3. Wählen Sie den Selektor Users and groups.

4. Geben Sie den Namen der Gruppe, die Sie der Anwendung zuweisen möchten, in das Suchfeld Search by name or email address ein.

5. Zeigen Sie den Mauszeiger über die Gruppe in der Ergebnisliste, um ein Kontrollfeld anzuzeigen. Aktivieren Sie das Kontrollfeld, um die Gruppe zu der Liste Selected hinzuzufügen.

6. Wenn Sie die Gruppen ausgewählt sind, wählen Sie Auswählen, um sie zur Liste der Benutzer und Gruppen hinzuzufügen, die der Anwendung zugewiesen werden sollen.

7. Wählen Sie Assign aus, um die Anwendung den ausgewählten Gruppen zuzuweisen.

Zusammenfassung: Fügen Sie den Identitätsprovider Ihrem Mandanten hinzu. Sie können die Gruppenzuordnungen gleichzeitig einrichten oder sie später einrichten.

1. Gehen Sie zur Konsole, und registrieren Sie sich mit Ihrem Oracle Cloud Infrastructure-Benutzernamen und -Kennwort.
2. Öffnen sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Föderation aus.
3. Wählen Sie Identitätsprovider hinzufügen aus.

4. Geben Sie Folgendes ein:

   1. Anzeigename: Ein eindeutiger Name für diese Föderationsvertrauensstellung. Dieser Name wird föderierten Benutzern angezeigt, wenn sie den Identitätsprovider auswählen, der bei der Anmeldung bei der Konsole verwendet werden soll. Der Name muss für alle Identitätsprovider, die Sie dem Mandanten hinzufügen, eindeutig sein. Sie können diese Angabe später nicht ändern.
   2. Beschreibung: Eine aussagekräftige Beschreibung.
   3. Typ: Wählen Sie SAML 2.0-konformer Identitätsprovider aus.
   4. XML: Laden Sie die Datei "FederationMetadata.xml" hoch, die Sie aus Azure AD heruntergeladen haben.
   5. Wählen Sie Erweiterte Einstellungen anzeigen aus.

   6. Assertion verschlüsseln: Mit dem Aktivieren des Kontrollkästchens wird der IAM-Service informiert, dass er die Verschlüsselung vom IdP erwarten kann. Aktivieren Sie dieses Kontrollfeld nur, wenn Sie die Assertion-Verschlüsselung in Azure AD aktiviert haben.

      Um die Assertion-Verschlüsselung für diese Single-Sign-On-Anwendung in Azure AD zu aktivieren, richten Sie das SAML-Signaturzertifikat in Azure AD ein, um die SAML-Antwort und -Assertion zu signieren. Weitere Informationen finden Sie in der Azure AD-Dokumentation.

   7. Authentifizierung erzwingen: Standardmäßig aktiviert. Wenn diese Option ausgewählt ist, müssen Benutzer ihre Zugangsdaten für den IdP (erneute Authentifizierung) angeben, selbst wenn sie bereits bei einer anderen Session angemeldet sind.
   8. Authentifizierungskontext-Klassenreferenzen: Dieses Feld ist für Government Cloud-Kunden erforderlich. Wenn ein oder mehrere Werte angegeben sind, erwartet Oracle Cloud Infrastructure (die Relying Party), dass der Identitätsprovider bei der Authentisierung des Benutzers einen der angegebenen Authentifizierungsverfahren verwenden soll. Die zurückgegebene SAML-Antwort vom IdP muss eine Authentifizierungsanweisung mit dieser Authentifizierungskontext-Klassenreferenz enthalten. Wenn der Authentifizierungskontext der SAML-Antwort nicht mit der hier angegebenen Antwort übereinstimmt, lehnt der Oracle Cloud Infrastructure-Authentifizierungsservice die SAML-Antwort mit einer 400 ab. Im Menü sind mehrere allgemeine Authentifizierungskontext-Klassenreferenzen aufgelistet. Um eine andere Kontextklasse zu verwenden, wählen Sie Benutzerdefiniert aus, und geben Sie die Klassenreferenz manuell ein.
   9. Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügt, sind Sie auch berechtigt: Freiformtags auf diese Ressource anwenden. Um ein definiertes Tag anzuwenden, benötigen Sie Die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Tags angewendet werden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.

5. Wählen Sie Fortfahren.

   Hinweis
   
   

   Wenn Sie die Gruppenzuordnungen jetzt nicht einrichten möchten, können Sie einfach die Option Erstellen auswählen und die Zuordnungen später hinzufügen.

Zusammenfassung: Richten Sie die Zuordnungen zwischen Azure AD-Gruppen und IAM-Gruppen in Oracle Cloud Infrastructure ein. Eine angegebene Azure AD-Gruppe kann null, einer oder mehreren IAM-Gruppen zugeordnet werden und umgekehrt. Jedoch besteht jede einzelne Zuordnung nur zwischen einer einzelnen Azure AD-Gruppe und einer einzelnen IAM-Gruppe. Änderungen an Gruppenzuordnungen werden im Allgemeinen innerhalb weniger Sekunden in der Hauptregion wirksam. Es kann jedoch mehrere Minuten dauern, bis sie an alle Regionen propagiert wurden. Beachten Sie, dass die Azure AD-Gruppen, die Sie zuordnen möchten, auch der Unternehmensanwendung in Azure AD zugewiesen werden müssen. Siehe Schritt 6: Benutzergruppen der Anwendung zuweisen.

Bevor Sie beginnen: Lassen Sie Ihre Azure AD-Gruppenseite geöffnet. Wählen Sie im Azure-Dashboard unter Manage die Option Groups aus. Wählen sie in der Liste der Gruppen die Gruppe aus, die Sie einer Oracle Cloud Infrastructure-Gruppe zuordnen möchten. Wählen Sie auf der Detailseite der Gruppe das Symbol Kopieren neben der Objekt-ID für diese Gruppe aus.

So erstellen Sie eine Gruppenzuordnung:

1. Geben Sie unter Identitätsprovidergruppe die Objekt-ID der Azure AD-Gruppe ein (oder fügen Sie sie hinzu). Sie müssen die Objekt-ID genau eingeben, einschließlich der korrekten Groß- und Kleinschreibung. Eine Objekt-ID sieht beispielsweise wie folgt aus: aa0e7d64-5b2c-623g-at32-65058526179c

   

2. Wählen Sie die IAM-Gruppe, die Sie dieser Gruppe zuordnen möchten, in der Liste unter OCI-Gruppe aus.

3. Wiederholen Sie die oben genannten Schritte für jede zu erstellende Zuordnung, und wählen Sie dann Erstellen aus.

Der Identitätsprovider wird jetzt Ihrem Mandanten hinzugefügt und in der Liste auf der Seite Föderation angezeigt. Wählen Sie den Identitätsprovider aus, um seine Details und die Gruppenzuordnungen anzuzeigen, den Sie gerade eingerichtet.

Oracle weist dem Identitätsprovider und jeder Gruppenzuordnung eine eindeutige ID zu, die als Oracle Cloud-ID (OCID) bezeichnet wird. Weitere Informationen finden Sie unter Ressourcen-IDs.

In Zukunft können Sie die Seite Föderation aufrufen, wenn Sie die Gruppenzuordnungen bearbeiten oder den Identitätsprovider aus Ihrem Mandanten löschen möchten.

Falls noch nicht geschehen, richten Sie IAM-Policys ein. Damit können Sie den Zugriff der föderierten Benutzer auf die Oracle Cloud Infrastructure-Ressourcen Ihrer Organisation kontrollieren. Weitere Informationen finden Sie unter Erste Schritte mit Policys und Allgemeine Policys.

Die föderierten Benutzer benötigen die URL für die Oracle Cloud Infrastructure-Konsole (z.B. die Konsole) und den Namen Ihres Mandanten. Sie werden zur Eingabe des Mandantennamens aufgefordert, wenn sie sich in der Konsole anmelden.