Oracle Cloud Infrastructure - Dokumentation

Mit SAML 2.0-Identitätsprovidern föderieren

In diesem Thema werden die allgemeinen Schritte zur Föderation von Oracle Cloud Infrastructure mit einem beliebigen Identitätsprovider beschrieben, der das Security Assertion Markup Language (SAML) 2.0-Protokoll unterstützt. Spezifische Anweisungen für Oracle Identity Cloud Service oder Microsoft Active Directory finden Sie unter Mit Oracle Identity Cloud Service föderieren oder Mit Microsoft Active Directory föderieren.

Tipp

Detaillierte Einrichtungsschritte für weitere IdPs finden Sie in den folgenden Whitepapern:

Anweisungen zum Föderieren

Im Folgenden wird der allgemeine Prozess erläutert, den ein Administrator zur Einrichtung des Identitätsproviders durchläuft. Im Folgenden finden Sie Anweisungen für jeden Schritt. Es wird davon ausgegangen, dass der Administrator ein Oracle Cloud Infrastructure-Benutzer mit den erforderlichen Zugangsdaten und dem entsprechenden Zugriff ist.

Hinweis

Bevor Sie die Schritte in diesem Thema ausführen, lesen Sie das Thema Mit Identitätsprovidern föderieren, um sich mit allgemeinen Konzepten der Föderation vertraut zu machen.

  1. Rufen Sie in der Oracle Cloud Infrastructure-Konsole die Föderationsmetadaten ab, die erforderlich sind, um eine Vertrauensstellung mit dem Identitätsprovider (IdP) einzurichten.
  2. Konfigurieren Sie Oracle Cloud Infrastructure beim IdP als Anwendung (manchmal als vertrauenswürdige Relying Party bezeichnet).
  3. Weisen Sie beim IdP Benutzer und Gruppen Ihrer neuen Oracle Cloud Infrastructure-Anwendung zu.
  4. Rufen Sie beim IdP die für Oracle Cloud Infrastructure erforderlichen Informationen ab.

  5. In Oracle Cloud Infrastructure:

    1. Fügen Sie den Identitätsprovider zu Ihrem Mandanten hinzu, und geben Sie die Informationen an, die Sie vom IdP abgerufen haben.
    2. Ordnen Sie die IdP-Gruppen IAM-Gruppen zu.
  6. Stellen Sie in Oracle Cloud Infrastructure sicher, dass Sie IAM-Policys für die Gruppen eingerichtet haben, damit Sie den Zugriff der Benutzer auf Oracle Cloud Infrastructure-Ressourcen kontrollieren können.
  7. Informieren Sie die Benutzer über den Namen Ihres Oracle Cloud Infrastructure-Mandanten und die URL für die Konsole: https://cloud.oracle.com.

Schritt 1: Informationen von Oracle Cloud Infrastructure abrufen

Zusammenfassung: Laden Sie das Föderations-Metadatendokument herunter.

Das Föderations-Metadatendokument ist ein SAML 2.0-Standarddokument, das Informationen zu Oracle Cloud Infrastructure enthält, die Sie für den IdP bereitstellen müssen. Je nach den Setupanforderungen Ihres Providers müssen Sie möglicherweise das gesamte Dokument hochladen, oder Sie werden aufgefordert, nur bestimmte Metadatenwerte aus dem Dokument anzugeben.

  1. Melden Sie sich bei der Oracle Cloud Infrastructure-Konsole als Administrator an.
  2. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Föderation.
  3. Klicken Sie mit der rechten Maustaste auf den Link Dieses Dokument herunterladen, und speichern Sie das Dokument.

Schritt 2: Oracle Cloud Infrastructure als vertrauenswürdige Anwendung einrichten

Anweisungen zum Einrichten einer vertrauenswürdigen Anwendung finden Sie in der IdP-Dokumentation. Die erforderlichen Parametern finden Sie in dem Metadatendokument, das Sie heruntergeladen haben.

Schritt 3: Weisen Sie der neuen Anwendung Benutzer und Gruppen zu.

Befolgen Sie die IdP-Prozeduren für das Hinzufügen von Benutzern und Gruppen zu der Anwendung, die Sie für Oracle Cloud Infrastructure eingerichtet haben.

Schritt 4: Laden Sie das Metadatendokument des IdP herunter.

Der IdP muss ein SAML 2.0-Dokument bereitstellen, das die Informationen enthält, die Oracle Cloud Infrastructure zum Ausführen der Föderation benötigt. In der IdP-Dokumentation Anweisungen, wie dieses Dokument heruntergeladen wird.

Schritt 5: IdP mit Oracle Cloud Infrastructure föderieren

Zusammenfassung: Fügen Sie den Identitätsprovider Ihrem Mandanten hinzu. Sie können die Gruppenzuordnungen gleichzeitig einrichten oder sie später einrichten.

Details:
  1. Gehen Sie zur Konsole, und melden Sie sich mit Ihrer Oracle Cloud Infrastructure-Anmeldung und Ihrem Kennwort an.
  2. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter ID auf Föderation.
  3. Klicken Sie auf Identitätsprovider hinzufügen.

  4. Geben Sie Folgendes ein:

    1. Name: Ein eindeutiger Name für diese Föderationsvertrauensstellung. Dieser Name wird föderierten Benutzern angezeigt, wenn sie den Identitätsprovider auswählen, über den sie sich in der Konsole anmelden möchten. Daher sollten Sie einen benutzerfreundlichen, intuitiven Namen angeben, den Ihre Benutzer verstehen. Der Name muss für alle Identitätsprovider, die Sie dem Mandanten hinzufügen, eindeutig sein. Sie können diese Angabe später nicht ändern.
    2. Beschreibung: Eine aussagekräftige Beschreibung.
    3. Typ: Wählen Sie Microsoft Active Directory Federation Service-(ADFS-) oder SAML 2.0-konformer Identitätsprovider aus.
    4. XML: Laden Sie das Dokument "metadata.xml" hoch, das Sie vom IdP heruntergeladen haben.
    5. Assertion verschlüsseln: Wenn Sie das Kontrollkästchen aktivieren, wird der IAM-Service informiert, dass er die Verschlüsselung aus dem IdP erwarten kann. Wenn Sie dieses Kontrollkästchen aktivieren, müssen Sie auch die Verschlüsselung der Assertion in der IdP einrichten. Weitere Informationen finden Sie unter Allgemeine Konzepte unter "Assertion verschlüsseln". Informationen finden Sie auch in der IdP-Dokumentation.
    6. Authentifizierung erzwingen: Standardmäßig aktiviert. Wenn diese Option ausgewählt ist, müssen Benutzer ihre Zugangsdaten für den IdP (erneute Authentifizierung) angeben, selbst wenn sie bereits bei einer anderen Session angemeldet sind.
    7. Klassenreferenzen für Authentifizierungskontext: Dieses Feld ist für Government Cloud-Kunden erforderlich. Wenn ein oder mehrere Werte angegeben sind, erwartet Oracle Cloud Infrastructure (die Relying Party), dass der Identitätsprovider bei der Authentifizierung des Benutzers einen der angegebenen Authentifizierungsverfahren verwendet. Die zurückgegebene SAML-Antwort vom IdP muss eine Authentifizierungsanweisung mit dieser Authentifizierungskontext-Klassenreferenz enthalten. Wenn der Authentifizierungskontext der SAML-Antwort nicht mit dem hier angegebenen Kontext übereinstimmt, lehnt der Oracle Cloud Infrastructure-Authentifizierungsservice die SAML-Antwort mit einer 400 ab. Im Menü sind mehrere allgemeine Authentifizierungskontext-Klassenreferenzen aufgelistet. Um eine andere Kontextklasse zu verwenden, wählen Sie Benutzerdefiniert aus, und geben Sie die Klassenreferenz manuell ein.
    8. Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.
  5. Klicken Sie auf Weiter.

  6. Richten Sie die Zuordnungen zwischen den IdP-Gruppen und IAM-Gruppen in Oracle Cloud Infrastructure ein. Eine bestimmte IdP-Gruppe kann null, einer oder mehreren IAM-Gruppen zugeordnet werden und umgekehrt. Jedoch besteht jede einzelne Zuordnung nur zwischen einer einzelnen IdP-Gruppe und einer einzelnen IAM-Gruppe. Änderungen an Gruppenzuordnungen werden im Allgemeinen innerhalb weniger Sekunden in der Hauptregion wirksam. Es kann jedoch mehrere Minuten dauern, bis sie an alle Regionen propagiert wurden.

    Hinweis

    Wenn Sie die Gruppenzuordnungen jetzt nicht einrichten möchten, können Sie einfach auf Erstellen klicken und die Zuordnungen später hinzufügen.

    So erstellen Sie eine Gruppenzuordnung:

    1. Geben Sie unter Identitätsprovidergruppe den Namen der Gruppe bei Ihrem IdP ein. Sie müssen den Namen genau eingeben, einschließlich der korrekten Groß- und Kleinschreibung.

      Wählen Sie die IAM-Gruppe, der Sie diese Gruppe zuordnen möchten, in der Liste unter OCI-Gruppe aus.

      Tipp

      Voraussetzungen für IAM Gruppennamen: Keine Leerzeichen. Zulässige Zeichen: Buchstaben, Zahlen, Bindestriche, Punkte, Unterstriche und Pluszeichen (+). Der Name kann später nicht mehr geändert werden.
    2. Wiederholen Sie die oben genannten Teilschritte für jede zu erstellende Zuordnung, und klicken Sie dann auf Erstellen.

Der Identitätsprovider wird jetzt Ihrem Mandanten hinzugefügt und in der Liste auf der Seite Föderation angezeigt. Klicken Sie auf den Identitätsprovider, um die zugehörigen Details und die Gruppenzuordnungen anzuzeigen, die Sie gerade eingerichtet haben.

Oracle weist dem Identitätsprovider und jeder Gruppenzuordnung eine eindeutige ID zu, die als Oracle Cloud-ID (OCID) bezeichnet wird. Weitere Informationen finden Sie unter Ressourcen-IDs.

In Zukunft können Sie die Seite Föderation aufrufen, wenn Sie Gruppenzuordnungen bearbeiten oder hinzufügen oder den Identitätsprovider aus Ihrem Mandanten löschen möchten.

Schritt 6: IAM-Policys für die Gruppen einrichten

Falls noch nicht geschehen, richten Sie IAM-Policys ein, um den Zugriff zu kontrollieren, den die föderierten Benutzer für die Oracle Cloud Infrastructure-Ressourcen Ihrer Organisation haben. Weitere Informationen finden Sie unter Erste Schritte mit Policys und Allgemeine Policys.

Schritt 7: Föderierten Benutzern den Namen des Mandanten und die URL für die Anmeldung bereitstellen

Die föderierten Benutzern benötigen die URL für die Oracle Cloud Infrastructure-Konsole, https://cloud.oracle.com, und den Namen Ihres Mandanten. Sie werden zur Eingabe des Mandantennamens aufgefordert, wenn sie sich bei der Konsole anmelden.

Identitätsprovider in der Konsole verwalten

So fügen Sie einen Identitätsprovider hinzu

Siehe Anweisungen zum Föderieren

So löschen Sie einen Identitätsprovider

Alle Gruppenzuordnungen für den Identitätsprovider werden ebenfalls gelöscht.

  1. Löschen Sie den Identitätsprovider aus Ihrem Mandanten:

    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Föderation.

      Eine Liste der Identitätsprovider in Ihrem Mandanten wird angezeigt.

    2. Klicken Sie auf den Identitätsprovider, um die zugehörigen Details anzuzeigen.
    3. Klicken Sie auf Löschen.
    4. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.
  2. Um die Anwendung aus dem IdP zu löschen, befolgen Sie die Anweisungen in der IdP-Dokumentation.
So fügen Sie Gruppenzuordnungen für einen Identitätsprovider hinzu

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Föderation.

    Eine Liste der Identitätsprovider in Ihrem Mandanten wird angezeigt.

  2. Klicken Sie auf den Identitätsprovider, um die zugehörigen Details anzuzeigen.

  3. Klicken Sie auf Mappings hinzufügen.

    1. Geben Sie den IdP-Gruppennamen genau in das Textfeld Identitätsprovidergruppe ein.

    2. Wählen Sie die IAM-Gruppe, der Sie diese Gruppe zuordnen möchten, in der Liste unter OCI-Gruppe aus.

    3. Um weitere Zuordnungen hinzuzufügen, klicken Sie auf + Weitere Zuordnung.
    4. Wenn Sie fertig sind, klicken Sie auf Zuordnungen hinzufügen.

Die Änderungen werden im Allgemeinen innerhalb weniger Sekunden in der Hauptregion wirksam. Es kann einige Minuten dauern, bis die Änderungen an alle Regionen propagiert wurden.

So aktualisieren Sie eine Gruppenzuordnung

Sie können eine Gruppenzuordnung nicht aktualisieren, aber Sie können die Zuordnung löschen und eine neue hinzufügen.

So löschen Sie eine Gruppenzuordnung

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Föderation.

    Eine Liste der Identitätsprovider in Ihrem Mandanten wird angezeigt.

  2. Klicken Sie auf den Identitätsprovider, um die zugehörigen Details anzuzeigen.
  3. Wählen Sie die zu löschende Zuordnung aus, und klicken Sie auf Löschen.
  4. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.

Die Änderungen werden im Allgemeinen innerhalb weniger Sekunden in der Hauptregion wirksam. Es kann einige Minuten dauern, bis die Änderungen an alle Regionen propagiert wurden.

Identitätsprovider in der API verwalten

Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-API-Dokumentation und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter SDKs und die CLI.

Verwenden Sie die folgenden API-Vorgänge:

Identitätsprovider: Gruppenzuordnungen: