Mit Microsoft Azure Active Directory föderieren

Zusammenfassung: Auf der Seite "Föderation" in der Oracle Cloud Infrastructure-Konsole wird ein Link zum Oracle Cloud Infrastructure-Föderations-Metadatendokument angezeigt. Bevor Sie die Anwendung in Azure AD einrichten, müssen Sie das Dokument herunterladen.

1. Navigieren Sie zur Seite Föderation: Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Föderation.

2. Klicken Sie auf der Seite "Föderation" auf Dieses Dokument herunterladen.

   

   Nachdem Sie auf den Link geklickt haben, wird das Dokument "metadata.xml" im Browserfenster geöffnet. Verwenden Sie den Befehl Ihres Browsers Seite speichern unter, um das XML-Dokument lokal zu speichern, damit Sie später darauf zugreifen können.

1. Wählen Sie im Azure-Portal im linken Navigationsbereich Azure Active Directory aus.

2. Wählen Sie im Bereich Azure Active Directory die Option Enterprise applications aus. Ein Beispiel für die Anwendungen in Ihrem Azure AD-Mandanten wird angezeigt.

3. Klicken Sie oben im Bereich All applications auf New application.
4. Geben Sie im Bereich Add from gallery Oracle Cloud Infrastructure Console in das Suchfeld ein.

5. Wählen Sie die Oracle Cloud Infrastructure-Konsolenanwendung in den Ergebnissen aus.

6. Im anwendungsspezifischen Formular können Sie Informationen zur Anwendung bearbeiten. Beispiel: Sie können den Namen der Anwendung bearbeiten.

7. Nachdem Sie die Eigenschaften bearbeitet haben, wählen Sie Create aus.

   Die erste Seite wird mit den Optionen zur Konfiguration der Anwendung für Ihre Organisation angezeigt.

1. Wählen Sie im Abschnitt Manage die Option Single sign-on aus.

   

2. Wählen Sie SAML aus, um Single Sign-On zu konfigurieren. Die Seite Set up Single Sign-On with SAML wird angezeigt.

3. Klicken Sie oben auf der Seite auf Upload metadata file.

   

4. Suchen Sie die Föderations-Metadatendatei (metadata.xml), die Sie in Schritt 1 aus Oracle Cloud Infrastructure heruntergeladen haben, und laden Sie sie hier hoch. Nachdem Sie die Datei hochgeladen haben, werden die folgenden Felder im Abschnitt Basic SAML Configuration automatisch ausgefüllt:

   • "Identifier" (Entity-ID)
   • "Reply URL" (Assertion Consumer Service-URL)

5. Klicken Sie im Abschnitt Basic SAML Configuration auf Edit. Füllen Sie im Bereich Basic SAML Configuration das folgende Pflichtfeld aus:

   • Sign on URL: Geben Sie die URL in folgendem Format ein:

     https://cloud.oracle.com

     

6. Klicken Sie auf Save.

Die Unternehmensanwendungsvorlage der Oracle Cloud Infrastructure-Konsole ist mit den erforderlichen Attributen vorausgefüllt. Daher müssen Sie nichts hinzufügen. Sie müssen jedoch folgende Anpassungen vornehmen:

1. Klicken Sie im Abschnitt User Attributes & Claims in der oberen rechten Ecke auf Edit. Der Bereich Manage claim wird angezeigt.

2. Klicken Sie neben dem Feld Name identifier value auf Edit.

   • Wählen Sie unter Required Claim die Option "Unique User Identifier (Name ID)" aus.
   • Wählen Sie Email address, und ändern Sie den Wert in Persistent.
   • Wählen Sie unter Source die Option "Attribute" aus.

   • Wählen Sie für das Source attribute den Wert "user.userprincipalname" aus.

     

   • Klicken Sie auf Save.

3. Klicken Sie auf Add a group claim.

4. Konfigurieren Sie im Fensterbereich Group Claims Folgendes:

   • Wählen Sie "Security groups" aus.
   • Source attribute: Wählen Sie "Group ID" aus.
   • Wählen Sie unter Advanced Options Customize the name of the group claim aus.

   • Geben Sie im Feld Name Folgendes ein: "groupName".

     Stellen Sie sicher, dass Sie "groupName" genau in dieser Schreibweise unter Beachtung der Groß- und Kleinschreibung eingeben.

   • Geben Sie im Feld Namespace Folgendes ein: https://auth.oraclecloud.com/saml/claims

     
   • Klicken Sie auf Save.

1. Klicken Sie im Abschnitt SAML Signing Certificate auf den Downloadlink neben Federation Metadata XML.

2. Laden Sie dieses Dokument herunter, und notieren Sie sich dessen Speicherort. Sie laden dieses Dokument im nächsten Schritt in die Konsole hoch.

Damit sich Azure AD-Benutzer bei Oracle Cloud Infrastructure anmelden können, müssen Sie die entsprechenden Benutzergruppen Ihrer neuen Unternehmensanwendung zuweisen.

1. Wählen Sie im linken Navigationsbereich unter Manage die Option Users and Groups aus.
2. Klicken Sie oben in der Liste Users and Groups auf Add, um den Bereich Add Assignment zu öffnen.

3. Klicken Sie auf den Selektor Users and groups.

4. Geben Sie den Namen der Gruppe, die Sie der Anwendung zuweisen möchten, in das Suchfeld Search by name or email address ein.

5. Zeigen Sie mit der Maus auf die Gruppe in der Ergebnisliste, um ein Kontrollkästchen anzuzeigen. Aktivieren Sie das Kontrollkästchen, um die Gruppe zu der Liste Selected hinzuzufügen.

6. Wenn Sie die Gruppen ausgewählt haben, klicken Sie auf Auswählen, um sie zur Liste der Benutzer und Gruppen hinzuzufügen, die der Anwendung zugewiesen werden sollen.

7. Klicken Sie auf Assign, um die Anwendung den ausgewählten Gruppen zuzuweisen.

Zusammenfassung: Fügen Sie den Identitätsprovider Ihrem Mandanten hinzu. Sie können die Gruppenzuordnungen gleichzeitig einrichten oder sie später einrichten.

1. Gehen Sie zur Konsole, und melden Sie sich mit Ihrem Oracle Cloud Infrastructure-Benutzernamen und -Kennwort an.
2. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Föderation.
3. Klicken Sie auf Identitätsprovider hinzufügen.

4. Geben Sie Folgendes ein:

   1. Anzeigename: Ein eindeutiger Name für diese Föderationsvertrauensstellung. Dieser Name wird föderierten Benutzern angezeigt, wenn sie den Identitätsprovider auswählen, über den sie sich in der Konsole anmelden möchten. Der Name muss für alle Identitätsprovider, die Sie dem Mandanten hinzufügen, eindeutig sein. Sie können diese Angabe später nicht ändern.
   2. Beschreibung: Eine aussagekräftige Beschreibung.
   3. Typ: Wählen Sie SAML 2.0-konformer Identitätsprovider aus.
   4. XML: Laden Sie die Datei "FederationMetadata.xml" hoch, die Sie aus Azure AD heruntergeladen haben.
   5. Klicken Sie auf Erweiterte Optionen anzeigen.

   6. Assertion verschlüsseln: Wenn Sie das Kontrollkästchen aktivieren, wird der IAM-Service informiert, dass er die Verschlüsselung von IdP erwarten kann. Aktivieren Sie dieses Kontrollkästchen nur, wenn Sie die Assertion-Verschlüsselung in Azure AD aktiviert haben.

      Um die Assertion-Verschlüsselung für diese Single-Sign-On-Anwendung in Azure AD zu aktivieren, richten Sie das SAML-Signaturzertifikat in Azure AD ein, um die SAML-Antwort und -Assertion zu signieren. Weitere Informationen finden Sie in der Azure AD-Dokumentation.

   7. Authentifizierung erzwingen: Standardmäßig aktiviert. Wenn diese Option ausgewählt ist, müssen Benutzer ihre Zugangsdaten für den IdP (erneute Authentifizierung) angeben, selbst wenn sie bereits bei einer anderen Session angemeldet sind.
   8. Klassenreferenzen für Authentifizierungskontext: Dieses Feld ist für Government Cloud-Kunden erforderlich. Wenn ein oder mehrere Werte angegeben sind, erwartet Oracle Cloud Infrastructure (die Relying Party), dass der Identitätsprovider bei der Authentifizierung des Benutzers einen der angegebenen Authentifizierungsverfahren verwendet. Die zurückgegebene SAML-Antwort vom IdP muss eine Authentifizierungsanweisung mit dieser Authentifizierungskontext-Klassenreferenz enthalten. Wenn der Authentifizierungskontext der SAML-Antwort nicht mit dem hier angegebenen Kontext übereinstimmt, lehnt der Oracle Cloud Infrastructure-Authentifizierungsservice die SAML-Antwort mit einer 400 ab. Im Menü sind mehrere allgemeine Authentifizierungskontext-Klassenreferenzen aufgelistet. Um eine andere Kontextklasse zu verwenden, wählen Sie Benutzerdefiniert aus, und geben Sie die Klassenreferenz manuell ein.
   9. Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.

5. Klicken Sie auf Weiter.

   Hinweis
   
   

   Wenn Sie die Gruppenzuordnungen jetzt nicht einrichten möchten, können Sie einfach auf Erstellen klicken und die Zuordnungen später hinzufügen.

Zusammenfassung: Richten Sie die Zuordnungen zwischen Azure AD-Gruppen und IAM-Gruppen in Oracle Cloud Infrastructure ein. Eine angegebene Azure AD-Gruppe kann null, einer oder mehreren IAM-Gruppen zugeordnet werden und umgekehrt. Jedoch besteht jede einzelne Zuordnung nur zwischen einer einzelnen Azure AD-Gruppe und einer einzelnen IAM-Gruppe. Änderungen an Gruppenzuordnungen werden im Allgemeinen innerhalb weniger Sekunden in der Hauptregion wirksam. Es kann jedoch mehrere Minuten dauern, bis sie an alle Regionen propagiert wurden. Beachten Sie, dass die Azure AD-Gruppen, die Sie zuordnen möchten, auch der Unternehmensanwendung in Azure AD zugewiesen werden müssen. Siehe Schritt 6: Benutzergruppen der Anwendung zuweisen.

Bevor Sie beginnen: Lassen Sie Ihre Azure AD-Gruppenseite geöffnet. Wählen Sie im Azure-Dashboard unter Manage die Option Groups aus. Wählen Sie in der Liste der Gruppen die Gruppe aus, die Sie einer Oracle Cloud Infrastructure-Gruppe zuordnen möchten. Klicken Sie auf der Seite mit den Gruppendetails neben der Objekt-ID für die Gruppe auf das Symbol Kopieren.

So erstellen Sie eine Gruppenzuordnung:

1. Geben Sie unter Identitätsprovidergruppe die Objekt-ID der Azure AD-Gruppe ein (oder fügen Sie sie ein). Sie müssen die Objekt-ID genau eingeben, einschließlich der korrekten Groß- und Kleinschreibung. Eine Objekt-ID sieht beispielsweise wie folgt aus: aa0e7d64-5b2c-623g-at32-65058526179c

   

2. Wählen Sie die IAM-Gruppe, der Sie diese Gruppe zuordnen möchten, in der Liste unter OCI-Gruppe aus.

3. Wiederholen Sie die oben genannten Schritte für jede zu erstellende Zuordnung, und klicken Sie dann auf Erstellen.

Der Identitätsprovider wird jetzt Ihrem Mandanten hinzugefügt und in der Liste auf der Seite Föderation angezeigt. Klicken Sie auf den Identitätsprovider, um die zugehörigen Details und die Gruppenzuordnungen anzuzeigen, die Sie gerade eingerichtet haben.

Oracle weist dem Identitätsprovider und jeder Gruppenzuordnung eine eindeutige ID zu, die als Oracle Cloud-ID (OCID) bezeichnet wird. Weitere Informationen finden Sie unter Ressourcen-IDs.

In Zukunft können Sie die Seite Föderation aufrufen, wenn Sie die Gruppenzuordnungen bearbeiten oder den Identitätsprovider aus Ihrem Mandanten löschen möchten.

Falls noch nicht geschehen, richten Sie IAM-Policys ein, um den Zugriff zu kontrollieren, den die föderierten Benutzer für die Oracle Cloud Infrastructure-Ressourcen Ihrer Organisation haben. Weitere Informationen finden Sie unter Erste Schritte mit Policys und Allgemeine Policys.

Die föderierten Benutzer benötigen die URL für die Oracle Cloud Infrastructure-Konsole (z.B. Konsole) und den Namen Ihres Mandanten. Sie werden zur Eingabe des Mandantennamens aufgefordert, wenn sie sich in der Konsole anmelden.