Oracle Cloud Infrastructure - Dokumentation

SAML-Identitätsprovider verwalten

Mit der Konsole können Sie einen SAML 2.0-Identitätsprovider (IdP) zu einer Identitätsdomain hinzufügen, sodass authentifizierte Benutzer aus der IdP auf Oracle Cloud Infrastructure zugreifen können, um auf Ressourcen und Cloud-Anwendungen zuzugreifen.

Allgemeine Begriffe

Identitätsprovider (IdP)

Ein IdP ist ein Service, mit dem identifizierende Zugangsdaten und Authentifizierung für Benutzer bereitgestellt werden.

Service Provider (SP)

Ein Service (wie eine Anwendung, eine Website usw.), der einen IdP zur Authentifizierung von Benutzern auffordert.

Führen Sie die folgenden Schritte durch, um eine SAML 2.0 IdP zu erstellen:

SAML-JIT-Provisioning konfigurieren

Das SAML-JIT-Provisioning kann mit der Konsole oder dem REST-API-Endpunkt /admin/v1/IdentityProviders konfiguriert werden. Informationen zum Konfigurieren des SAML-JIT-Provisionings finden Sie in den folgenden Referenzen:

SAML-Identitätsprovider hinzufügen

SAML-Details für einen Identitätsprovider eingeben.

  1. Wählen Sie auf der Listenseite Domains die Domain aus, in der Sie Änderungen vornehmen möchten. Wenn Sie Hilfe beim Suchen der Listenseite für die Domain benötigen, finden Sie weitere Informationen unter Identitätsdomains auflisten.
  2. Führen Sie je nach den angezeigten Optionen auf der Detailseite eine der folgenden Aktionen aus:
    • Föderation auswählen oder
    • Wählen Sie Sicherheit und dann Identitätsprovider aus. Eine Liste der Identitätsprovider in der Domain wird angezeigt.
  3. Führen Sie je nach den angezeigten Optionen eine der folgenden Aktionen aus:
    • Wählen Sie im Menü Aktionen des Identitätsproviders die Option SAML IdP hinzufügen aus, oder
    • Wählen Sie IdP hinzufügen und dann SAML IdP hinzufügen aus.
  4. Geben Sie folgende Informationen ein:
    • Name: Geben Sie den Namen der IdP ein.
    • (Optional) Beschreibung: Geben Sie eine Beschreibung der IdP ein.
    • (Optional) Identitätsprovidersymbol: Verschieben Sie ein unterstütztes Bild per Drag-and-Drop, oder wählen Sie auswählen aus, um nach dem Bild zu suchen.
  5. Wählen Sie Weiter.
  6. Wählen Sie im Fenster Metadaten austauschen die Schaltfläche SAML-Metadaten exportieren aus, um die SAML-Metadaten an den Identitätsprovider zu senden. Führen Sie einen der folgenden Schritte aus:
    • IdP-Metadaten importieren: Wählen Sie diese Option aus, wenn eine XML-Datei aus der IdP exportiert wurde. Verschieben Sie die XML-Datei per Drag-and-Drop, um die Metadaten hochzuladen, oder wählen Sie Auswählen aus, um nach der Metadatendatei zu suchen.
    • IdP-Metadaten eingeben: Wählen Sie diese Option aus, wenn Sie die IdP-Metadaten manuell eingeben möchten. Geben Sie die folgenden Details ein:
      • Aussteller-URI des Identitätsproviders
      • SSO-Service-URI
      • SSO-Service-Binding
      • Signaturzertifikat für Identitätsprovider hochladen
      • Globale Abmeldung aktivieren
    • URL für Import IdP: Geben Sie die URL der IdP-Metadaten ein.
  7. Wählen Sie Erweiterte Optionen anzeigen aus, wenn Sie Folgendes auswählen möchten:
    • Signatur-Hashing-Algorithmus: Wählen Sie SHA-256 oder SHA-1 aus
    • Verschlüsselte Assertion erforderlich: Gibt an, dass die Identitätsdomainautorisierung eine verschlüsselte Assertion von der IdP erwartet.
    • Authentifizierung erzwingen: Wählen Sie diese Option aus, damit sich Benutzer bei der IdP authentifizieren müssen, selbst wenn die Session noch gültig ist.
    • Angeforderter Authentifizierungskontext: Wählen Sie Authentifizierungsinhaltsklassenreferenzen aus.
    • Bestätigung des Betreffs "Holder-of-Key" erforderlich: Verfügbar, nachdem Sie eine Holder-of-Key-(HOK-)unterstützte gültige Metadatendatei hochgeladen haben.
    • Signaturzertifikat mit SAML-Nachricht senden: Wählen Sie diese Option aus, um das Signaturzertifikat der Identitätsdomain mit SAML-Nachrichten einzuschließen, die von Ihrer Identitätsdomain gesendet werden. Einige SAML-Provider benötigen das Signaturzertifikat, um die SAML-Partnerkonfiguration zu suchen.
  8. Wählen Sie Weiter.
  9. Führen Sie im Fenster SAML-Identitätsprovider hinzufügen die folgenden Schritte aus:
    1. Wählen Sie ein angefordertes Namens-ID-Format aus.
  10. Ordnen Sie die Identitätsattribute des Benutzers, die von der IdP empfangen wurden, einer Oracle Cloud Infrastructure-Identitätsdomain zu.
    Die Zuordnungsoptionen variieren je nach Identitätsprovider. Sie können einem Oracle Cloud Infrastructure-Identitätsdomainwert direkt einen IdP-Wert zuweisen. Beispiel: NameID kann UserName zugeordnet werden. Wenn Sie das SAML-Assertion-Attribut als Quelle auswählen, wählen Sie den Assertion-Attributnamen aus, und geben Sie die Oracle Cloud Infrastructure-Identitätsdomain ein.
  11. Klicken Sie auf Weiterleiten.
  12. Prüfen Sie im Bildschirm Prüfen und erstellen die Einstellungen Ihres SAML-Identitätsproviders. Wenn die Einstellungen korrekt sind, wählen Sie Erstellen. Wählen Sie neben den Einstellungen die Option Bearbeiten, wenn Sie sie ändern müssen.
  13. Die Konsole zeigt eine Meldung an, wenn der SAML-Identitätsprovider erstellt wird. Auf der Überblickseite können Sie folgende Aktionen ausführen:
    • Wählen Sie Testen aus, um sicherzustellen, dass die SAML-SSO-Verbindung ordnungsgemäß funktioniert.
    • Wählen Sie Aktivieren aus, um die IdP zu aktivieren, damit die Identitätsdomain sie verwenden kann.
    • Wählen Sie Zu Policy-Regel für IdP zuweisen aus, um diesen SAML-Identitätsprovider einer vorhandenen Policy-Regel zuzuweisen, die Sie erstellt haben.
  14. Wählen Sie Schließen aus.
Metadaten für einen SAML-Identitätsprovider importieren

Importieren Sie die SAML-Metadaten für einen Identitätsprovider.

  1. Wählen Sie auf der Listenseite Domains die Domain aus, in der Sie Änderungen vornehmen möchten. Wenn Sie Hilfe beim Suchen der Listenseite für die Domain benötigen, finden Sie weitere Informationen unter Identitätsdomains auflisten.
  2. Führen Sie je nach den angezeigten Optionen auf der Detailseite eine der folgenden Aktionen aus:
    • Föderation auswählen oder
    • Wählen Sie Sicherheit und dann Identitätsprovider aus. Eine Liste der Identitätsprovider in der Domain wird angezeigt.
  3. Führen Sie je nach den angezeigten Optionen eine der folgenden Aktionen aus:
    • Wählen Sie im Menü Aktionen des Identitätsproviders die Option SAML IdP hinzufügen aus, oder
    • Wählen Sie IdP hinzufügen, SAML IdP hinzufügen aus.
  4. Geben Sie Details für den IdP ein:
    Feld Beschreibung
    Name Geben Sie den Namen des IdP ein.
    Beschreibung Geben Sie erläuternde Informationen zum IdP ein.
    Symbol Suchen Sie nach einem Symbol für den IdP, und wählen Sie es aus, oder verschieben Sie es per Drag-and-Drop. Das Symbol muss eine Größe von 95 x 95 Pixel und einen transparenten Hintergrund haben. Unterstützte Dateiformate sind .png, .fig, .jpg, .jpeg.
  5. Wählen Sie Weiter. Geben Sie die Konfigurationsdetails ein:
    Feld Beschreibung
    Identitätsprovider-Metadaten importieren Wählen Sie diese Option aus, um die Metadaten für den IdP zu importieren.
    Identitätsprovider-Metadaten Wählen Sie die XML-Datei mit den Metadaten für den IdP aus, den Sie importieren möchten.

    Hinweis: Sie können nur einen IdP in der Identitätsdomain mit einer bestimmten Aussteller-ID definieren (auch als Provider-ID oder Entity-ID bezeichnet). Das Attribut "Entity-ID" ist Teil der IdP-Metadaten. Sie können also nur einen IdP mit einer bestimmten Metadatendatei erstellen. Außerdem können Sie einen IdP mit neuen Metadaten aktualisieren, seine Aussteller-ID jedoch nicht ändern.
    Signaturzertifikat mit SAML-Nachricht senden

    Aktivieren Sie dieses Kontrollkästchen, um das Signaturzertifikat der Identitätsdomain in SAML-Nachrichten aufzunehmen, die an den IdP gesendet werden. Das Signaturzertifikat wird zur Verifizierung der Signatur der Nachrichten für den IdP verwendet. Diese Verifizierung ist in der Regel nicht erforderlich, aber einige IdPs erfordern sie im Rahmen ihres Signaturverifizierungsprozesses.
    Signatur-Hashing-Algorithmus
    Wählen Sie den sicheren Hash-Algorithmus aus, mit dem Nachrichten an den IdP signiert werden sollen.
    • SHA-256 ist der Standardwert.

    • Wenn der IDP SHA-256 nicht unterstützt, wählen Sie SHA-1 aus.
  6. Wählen Sie Weiter. Konfigurieren Sie die Zuordnung zwischen Benutzerattributen von IdP und Identitätsdomain:
    Feld Beschreibung
    Identitätsprovider-Benutzerattribut

    Wählen Sie den Benutzerattributwert vom IdP aus, mit dem der Benutzer eindeutig identifiziert werden kann.

    Sie können die Namens-ID der Assertion angeben. Sie können aber auch ein anderes SAML-Attribut aus der Assertion angeben, indem Sie es in das Textfeld Assertion-Attribut eingeben.
    Identitätsdomain-Benutzerattribut

    Wählen Sie das Attribut in der Identitätsdomain aus, dem Sie das Attribut vom IdP zuordnen.

    Sie können den Benutzernamen oder ein anderes Attribut angeben (z.B. den Anzeigenamen des Benutzers, die primäre oder die Wiederherstellungs-E-Mail-Adresse oder eine externe ID). Sie verwenden die externe ID, wenn Sie das vom IdP empfangene Attribut einer speziellen ID zuordnen möchten, die mit dem Provider verknüpft ist.
    Angefordertes NameID-Format

    Wenn SAML-Authentifizierungsanforderungen an den IdP gesendet werden, können Sie ein Namens-ID-Format in der Anforderung angeben.

    Wenn die IdP dieses Format in der Anforderung nicht erfordert, wählen Sie <Keine angefordert>.
  7. Wählen Sie Erstellen IdP aus. Exportieren Sie die SAML-Metadaten der Identitätsdomain:
    Aufgabe Beschreibung
    Serviceprovider-Metadaten

    Um Metadaten für die Identitätsdomain zu exportieren, wählen Sie Herunterladen aus. Importieren Sie diese Metadaten dann in den IdP. Wenn der IdP das Importieren eines XML-Dokuments mit SAML-Metadaten nicht unterstützt, konfigurieren Sie den IdP mit den folgenden Informationen manuell.

    Wenn der Föderationspartner, in den Sie die Identitätsdomainmetadaten importieren, eine CRL-Validierung ausführt (AD FS führt z.B. eine CRL-Validierung aus), laden Sie die Metadaten von https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true herunter, anstatt die über diese Schaltfläche exportierten Metadaten zu verwenden.

    Aktivieren Sie den Switch unter "Zugriff auf das Signaturzertifikat" in Standardeinstellungen, damit Clients auf die Metadaten zugreifen können, ohne sich bei der Identitätsdomain anzumelden.
    Serviceprovider-Metadaten mit selbstsignierten Zertifikaten

    Um Metadaten für die Identitätsdomain zusammen mit selbstsignierten Zertifikaten zu exportieren, wählen Sie Herunterladen aus. Importieren Sie diese Metadaten dann in den IdP. Wenn der IdP das Importieren eines XML-Dokuments mit SAML-Metadaten nicht unterstützt, konfigurieren Sie den IdP mit den folgenden Informationen manuell.

    Wenn der Föderationspartner, in den Sie die Identitätsdomainmetadaten importieren, eine CRL-Validierung ausführt (AD FS führt z.B. eine CRL-Validierung aus), laden Sie die Metadaten von https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true herunter, anstatt die über diese Schaltfläche exportierten Metadaten zu verwenden.

    Aktivieren Sie den Switch unter "Zugriff auf das Signaturzertifikat" in Standardeinstellungen, damit Clients auf die Metadaten zugreifen können, ohne sich bei der Identitätsdomain anzumelden.
    Provider-ID

    Die URI (Uniform Resource Identifier), die die Identitätsdomain eindeutig identifiziert. Die Provider-ID wird auch als Aussteller-ID oder Entity-ID bezeichnet.
    Assertion-Consumer-Service-URL Die URL (Uniform Resource Locator) des Identitätsdomain-Serviceendpunkts, der Assertions vom IdP empfängt und verarbeitet.
    Endpunkt-URL des Abmeldeservice Die URL des Identitätsdomain-Serviceendpunkts, der Abmeldeanforderungen vom IdP empfängt und verarbeitet.
    Rückgabe-URL des Abmeldeservice Die URL des Identitätsdomain-Serviceendpunkts, der Abmeldeantworten vom IdP empfängt und verarbeitet.
    Signaturzertifikat des Serviceproviders Um das Signaturzertifikat der Identitätsdomain zu exportieren, wählen Sie Herunterladen aus. Wählen Sie die Datei aus, die das Signaturzertifikat enthält. Mit diesem Zertifikat verifiziert der IdP die Signatur in SAML-Anforderungen und -Antworten, die von der Identitätsdomain an den IdP gesendet werden.
    Verschlüsselungszertifikat des Serviceproviders Um das Verschlüsselungszertifikat der Identitätsdomain zu exportieren, wählen Sie Herunterladen aus. Wählen Sie die Datei aus, die das Verschlüsselungszertifikat enthält. Mit diesem Zertifikat verschlüsselt der IdP SAML-Assertions, die er an die Identitätsdomain sendet. Das ist nur erforderlich, wenn der IdP verschlüsselte Assertions unterstützt.

    Informationen zum Abrufen des Root-Zertifikats der ausstellenden Identitätsdomain finden Sie unter Root-Zertifikat abrufen.

  8. Wählen Sie Weiter.
  9. On the Test IdP page, select Test login to test the configuration settings for the IdP. (Sie müssen bei der Identitätsdomain angemeldet sein, für die Sie den IdP konfiguriert haben, um die Konfigurationseinstellungen zu testen.)
  10. Wählen Sie Weiter.
  11. Wählen Sie auf der Seite Aktivieren IdP die Option Aktivieren aus, um die IdP zu aktivieren.
  12. Wählen Sie Fertig.

SAML-Metadaten exportieren

SAML-Metadaten für eine Identitätsdomain in IAM exportieren.

  1. Wählen Sie auf der Listenseite Domains die Domain aus, in der Sie Änderungen vornehmen möchten. Wenn Sie Hilfe beim Suchen der Listenseite für die Domain benötigen, finden Sie weitere Informationen unter Identitätsdomains auflisten.
  2. Führen Sie je nach den angezeigten Optionen auf der Detailseite eine der folgenden Aktionen aus:
    • Föderation auswählen oder
    • Wählen Sie Sicherheit und dann Identitätsproider aus. Eine Liste der Identitätsprovider in der Domain wird angezeigt.
  3. Öffnen Sie einen Identitätsprovider.
  4. Wählen Sie SAML-Metadaten exportieren aus.
  5. Wählen Sie eine der folgenden Optionen aus:
    • Metadatendatei: Wählen Sie "SAML-XML-Metadatendatei herunterladen" aus, oder laden Sie die SAML-XML-Metadaten mit selbstsignierten Zertifikaten herunter.
    • Manueller Export: Durch den manuellen Export der Metadaten können Sie aus mehreren SAML-Optionen wählen, z.B. die Entity-ID oder die Abmeldeantwort-URL. Nachdem Sie die Exportdatei kopiert haben, können Sie das Signaturzertifikat des Serviceproviders oder das Verschlüsselungszertifikat des Serviceproviders herunterladen.
    • Metadaten-URL: Wenn Ihre IdP das direkte Herunterladen von SAML-Metadaten unterstützt. Wählen Sie Auf Signaturzertifikat zugreifen aus, damit Clients auf das Signaturzertifikat zugreifen können, ohne sich bei einem IdP anmelden zu müssen.

IdP-Metadaten konfigurieren

Geben Sie IdP-Metadatendetails manuell ein, oder importieren Sie eine Metadatendatei.

  1. Wählen Sie eine der folgenden Optionen aus:
    • IdP-Metadaten importieren: Wählen Sie diese Option aus, wenn eine XML-Datei aus der IdP exportiert wurde. Verschieben Sie die XML-Datei per Drag-and-Drop, um die Metadaten hochzuladen, oder wählen Sie Auswählen aus, um nach der Metadatendatei zu suchen.
    • IdP-Metadaten eingeben: Wählen Sie diese Option aus, wenn Sie die IdP-Metadaten manuell eingeben möchten. Geben Sie die folgenden Details ein:
      • Aussteller-URI des Identitätsproviders:
      • SSO-Service-URI
      • SSO-Service-Binding
      • Signaturzertifikat für Identitätsprovider hochladen
      • Verschlüsselungszertifikat für Identitätsprovider hochladen
      • Globale Abmeldung aktivieren
      • Abmeldeanforderung-URL von Identitätsprovider
      • Abmeldeantwort-URL von Identitätsprovider
      • Abmelde-Binding
  2. Wählen Sie die Methode Signatur-Hashing-Algorithmus.
  3. Wählen Sie aus, ob Sie ein signiertes Signaturzertifikat mit SAML-Nachricht verwenden möchten.
  4. Wählen Sie Weiter.

Benutzerattribute zuordnen

Ordnen Sie die Beziehung zwischen den Benutzerattributen IdP und den Benutzerattributen der Identitätsdomain zu.

  1. Wählen Sie im Feld Format der angeforderten Namens-ID eine Zuordnungsoption aus.

    Die Zuordnungsoptionen variieren je nach Identitätsprovider. Möglicherweise können Sie einem Oracle Cloud Infrastructure-Identitätsdomainwert direkt einen IdP-Wert zuweisen. Beispiel: NameID kann UserName zugeordnet werden. Wenn Sie das SAML-Assertion-Attribut als Quelle auswählen, wählen Sie den Assertion-Attributnamen aus, und geben Sie die Oracle Cloud Infrastructure-Identitätsdomain ein.

    Wenn Sie Benutzerdefiniert auswählen, geben Sie die Details in das Feld Benutzerdefiniertes Namens-ID-Format ein.

  2. Wählen Sie Felder unter Benutzerattribut des Identitätsproviders aus, und wählen Sie ein entsprechendes Feld unter Benutzerattribut der Identitätsdomain aus.
  3. Wählen Sie Weiter.

IdP prüfen und erstellen

Stellen Sie sicher, dass die IdP-Optionen korrekt sind, und erstellen Sie dann IdP.

  1. Wählen Sie Anmeldung testen aus, um den Anmeldebildschirm IdP zu öffnen.
  2. Wählen Sie IdP erstellen aus.
    Hinweis

    Um eine IdP nach dem Erstellen zu bearbeiten, gehen Sie zur Liste Identitätsprovider, wählen Sie die Option IdP aus, und bearbeiten Sie die Datei IdP.