Oracle Cloud Infrastructure - Dokumentation

SAML-Identitätsprovider verwalten

Mit der Konsole können Sie einen SAML 2.0-Identitätsprovider (IdP) zu einer Identitätsdomain hinzufügen, damit authentifizierte Benutzer von IdP auf Oracle Cloud Infrastructure zugreifen können.

Allgemeine Begriffe

Identitätsprovider (IdP)

Ein IdP ist ein Service, der identifizierende Zugangsdaten und Authentifizierungen für Benutzer bereitstellt.

Service Provider (SP)

Ein Service (wie eine Anwendung, eine Website usw.), der einen IdP zur Authentifizierung von Benutzern auffordert.

Führen Sie die folgenden Schritte aus, um eine SAML 2.0-IdP zu erstellen:

SAML-JIT-Provisioning konfigurieren

Das SAML-JIT-Deployment kann mit der Konsole oder dem /admin/v1/IdentityProviders-REST-API-Endpunkt konfiguriert werden. Informationen zum Konfigurieren des SAML-JIT-Provisionings finden Sie in den folgenden Referenzen:

SAML-Identitätsprovider hinzufügen

SAML-Details für einen Identitätsprovider eingeben.

  1. Navigieren Sie zur Identitätsdomain: Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie dann auf Sicherheit, Identitätsprovider.
  3. Klicken Sie auf IdP hinzufügen und dann auf SAML-IdP hinzufügen.
  4. Geben Sie folgende Informationen ein:
    • Name: Geben Sie den Namen der IdP ein.
    • (Optional) Beschreibung: Geben Sie eine Beschreibung der IdP ein.
    • (Optional) Identitätsprovidersymbol: Ziehen Sie ein unterstütztes Bild herbei, und legen Sie es dort ab, oder klicken Sie auf auswählen, um das Bild zu suchen.
  5. Klicken Sie auf Weiter.
  6. Klicken Sie im Fenster Metadaten austauschen auf die Schaltfläche SAML-Metadaten exportieren, um die SAML-Metadaten an den Identitätsprovider zu senden. Führen Sie einen der folgenden Schritte aus:
    • Metadaten von IdP importieren: Wählen Sie diese Option aus, wenn Sie eine XML-Datei aus IdP exportiert haben. Verschieben Sie die XML-Datei per Drag-and-Drop, um die Metadaten hochzuladen, oder klicken Sie auf auswählen, um nach der Metadatendatei zu suchen.
    • Geben Sie IdP-Metadaten ein: Wählen Sie diese Option aus, wenn Sie die IdP-Metadaten manuell eingeben möchten. Geben Sie die folgenden Details ein:
      • Aussteller-URI des Identitätsproviders
      • SSO-Service-URI
      • SSO-Service-Binding
      • Signaturzertifikat für Identitätsprovider hochladen
      • Globale Abmeldung aktivieren
    • URL für Import von IdP: Geben Sie die URL der IdP-Metadaten ein.
  7. Klicken Sie auf Erweiterte Optionen anzeigen, wenn Sie Folgendes auswählen möchten:
    • Signatur-Hashing-Algorithmus: Wählen Sie SHA-256 oder SHA-1 aus
    • Verschlüsselte Assertion erforderlich: Gibt an, dass die Identitätsdomainautorisierung eine verschlüsselte Assertion von der IdP erwartet.
    • Authentifizierung erzwingen: Wählen Sie diese Option aus, damit Benutzer sich mit IdP authentifizieren müssen, auch wenn die Session noch gültig ist.
    • Angeforderter Authentifizierungskontext: Wählen Sie Authentifizierungsinhaltsklassenreferenzen aus.
    • Holder-of-Key-Betreffbestätigung erforderlich: Diese Option ist verfügbar, nachdem Sie eine von Holder-of-Key (HOK) unterstützte gültige Metadatendatei hochgeladen haben.
    • Signaturzertifikat mit SAML-Nachricht senden: Wählen Sie diese Option aus, um das Signaturzertifikat der Identitätsdomain mit SAML-Nachrichten aufzunehmen, die von Ihrer Identitätsdomain gesendet werden. Einige SAML-Provider erfordern das Signaturzertifikat, um die SAML-Partnerkonfiguration zu suchen.
  8. Klicken Sie auf Weiter.
  9. Führen Sie im Bildschirm SAML-Identitätsprovider hinzufügen die folgenden Schritte aus:
    1. Wählen Sie ein Angefordertes Namens-ID-Format aus.
  10. Ordnen Sie die von der IdP erhaltenen Identitätsattribute des Benutzers einer Oracle Cloud Infrastructure-Identitätsdomain zu.
    Die Zuordnungsoptionen variieren je nach Identitätsprovider. Sie können einem Oracle Cloud Infrastructure-Identitätsdomainwert direkt einen IdP-Wert zuweisen. Beispiel: NameID kann UserName zugeordnet werden. Wenn Sie das SAML-Assertion-Attribut als Quelle auswählen, wählen Sie den Assertion-Attributnamen aus, und geben Sie dann die Oracle Cloud Infrastructure-Identitätsdomain ein.
  11. Klicken Sie auf Übergeben.
  12. Prüfen Sie im Bildschirm Prüfen und erstellen die Einstellungen Ihres SAML-Identitätsproviders. Wenn die Einstellungen richtig sind, klicken Sie auf Erstellen. Klicken Sie neben den Einstellungen auf Bearbeiten, wenn Sie sie ändern müssen.
  13. Die Konsole zeigt eine Nachricht an, wenn der SAML-Identitätsprovider erstellt wird. Auf der Überblickseite können Sie:
    • Klicken Sie auf Test, um zu prüfen, ob die SAML-SSO-Verbindung ordnungsgemäß funktioniert.
    • Klicken Sie auf Aktivieren, um die IdP für die Verwendung durch die Identitätsdomain zu aktivieren.
    • Klicken Sie auf Zu IdP-Policy-Regel hinzufügen, um diesen SAML-Identitätsprovider einer bereits erstellten Policy-Regel zuzuweisen.
  14. Klicken Sie auf Schließen.
Metadaten für einen SAML-Identitätsprovider importieren

Importieren Sie die SAML-Metadaten für einen Identitätsprovider.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie dann auf Sicherheit, Identitätsprovider.
  3. Klicken Sie auf IdP hinzufügen und dann auf SAML-IdP hinzufügen.
  4. Geben Sie Details für den IdP ein:
    Feld Beschreibung
    Name Geben Sie den Namen des IdP ein.
    Beschreibung Geben Sie erläuternde Informationen zum IdP ein.
    Symbol Suchen Sie nach einem Symbol für den IdP, und wählen Sie es aus, oder verschieben Sie es per Drag-and-Drop. Das Symbol muss eine Größe von 95 x 95 Pixel und einen transparenten Hintergrund haben. Unterstützte Dateiformate sind .png, .fig, .jpg, .jpeg.
  5. Klicken Sie auf Weiter. Geben Sie die Konfigurationsdetails ein:
    Feld Beschreibung
    Identitätsprovider-Metadaten importieren Wählen Sie diese Option aus, um die Metadaten für den IdP zu importieren.
    Identitätsprovider-Metadaten Wählen Sie die XML-Datei mit den Metadaten für den IdP aus, den Sie importieren möchten.

    Hinweis: Sie können nur einen IdP in der Identitätsdomain mit einer bestimmten Aussteller-ID definieren (auch als Provider-ID oder Entity-ID bezeichnet). Das Attribut "Entity-ID" ist Teil der IdP-Metadaten. Sie können also nur einen IdP mit einer bestimmten Metadatendatei erstellen. Außerdem können Sie einen IdP mit neuen Metadaten aktualisieren, seine Aussteller-ID jedoch nicht ändern.
    Signaturzertifikat mit SAML-Nachricht senden

    Um das Signaturzertifikat der Identitätsdomain in SAML-Nachrichten aufzunehmen, die an die IdP gesendet werden, aktivieren Sie dieses Kontrollkästchen. Das Signaturzertifikat wird zur Verifizierung der Signatur der Nachrichten für den IdP verwendet. Diese Verifizierung ist in der Regel nicht erforderlich, aber einige IdPs erfordern sie im Rahmen ihres Signaturverifizierungsprozesses.
    Signatur-Hashing-Algorithmus
    Wählen Sie den sicheren Hash-Algorithmus aus, mit dem Nachrichten an den IdP signiert werden sollen.
    • Der Standardwert ist SHA-256.

    • Wenn der IdP SHA-256 nicht unterstützt, wählen Sie SHA-1 aus.
  6. Klicken Sie auf Weiter. Konfigurieren Sie die Zuordnung zwischen Benutzerattributen von IdP und Identitätsdomain:
    Feld Beschreibung
    Identitätsprovider-Benutzerattribut

    Wählen Sie den Benutzerattributwert vom IdP aus, mit dem der Benutzer eindeutig identifiziert werden kann.

    Sie können die Namens-ID der Assertion angeben. Sie können auch ein anderes SAML-Attribut aus der Assertion angeben, indem Sie es in das Textfeld Assertion-Attribut eingeben.
    Identitätsdomain-Benutzerattribut

    Wählen Sie das Attribut in der Identitätsdomain aus, dem Sie das Attribut vom IdP zuordnen.

    Sie können den Benutzernamen oder ein anderes Attribut angeben (z.B. den Anzeigenamen des Benutzers, die primäre oder die Wiederherstellungs-E-Mail-Adresse oder eine externe ID). Sie verwenden die externe ID, wenn Sie das vom IdP empfangene Attribut einer speziellen ID zuordnen möchten, die mit dem Provider verknüpft ist.
    Angefordertes NameID-Format

    Wenn SAML-Authentifizierungsanforderungen an den IdP gesendet werden, können Sie ein Namens-ID-Format in der Anforderung angeben.

    Wenn der IdP dieses Format in der Anforderung nicht erfordert, wählen Sie <Keine angefordert> aus.
  7. Klicken Sie auf IdP erstellen. Exportieren Sie die SAML-Metadaten der Identitätsdomain:
    Aufgabe Beschreibung
    Serviceprovidermetadaten

    Um Metadaten für die Identitätsdomain zu exportieren, klicken Sie auf Herunterladen. Importieren Sie diese Metadaten dann in den IdP. Wenn der IdP das Importieren eines XML-Dokuments mit SAML-Metadaten nicht unterstützt, konfigurieren Sie den IdP mit den folgenden Informationen manuell.

    Wenn der Föderationspartner, in den Sie die Identitätsdomainmetadaten importieren, eine CRL-Validierung ausführt (AD FS führt z.B. eine CRL-Validierung aus), laden Sie die Metadaten von https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true herunter, anstatt die über diese Schaltfläche exportierten Metadaten zu verwenden.

    Aktivieren Sie den Switch unter "Zugriff auf das Signaturzertifikat" in Standardeinstellungen, damit Clients auf die Metadaten zugreifen können, ohne sich bei der Identitätsdomain anzumelden.
    Serviceprovider-Metadaten mit selbstsignierten Zertifikaten

    Um Metadaten für die Identitätsdomain zusammen mit selbstsignierten Zertifikaten zu exportieren, klicken Sie auf Herunterladen. Importieren Sie diese Metadaten dann in den IdP. Wenn der IdP das Importieren eines XML-Dokuments mit SAML-Metadaten nicht unterstützt, konfigurieren Sie den IdP mit den folgenden Informationen manuell.

    Wenn der Föderationspartner, in den Sie die Identitätsdomainmetadaten importieren, eine CRL-Validierung ausführt (AD FS führt z.B. eine CRL-Validierung aus), laden Sie die Metadaten von https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true herunter, anstatt die über diese Schaltfläche exportierten Metadaten zu verwenden.

    Aktivieren Sie den Switch unter "Zugriff auf das Signaturzertifikat" in Standardeinstellungen, damit Clients auf die Metadaten zugreifen können, ohne sich bei der Identitätsdomain anzumelden.
    Mitarbeiterkennung

    Die URI (Uniform Resource Identifier), die die Identitätsdomain eindeutig identifiziert. Die Provider-ID wird auch als Aussteller-ID oder Entity-ID bezeichnet.
    Assertion-Consumer-Service-URL Die URL (Uniform Resource Locator) des Identitätsdomain-Serviceendpunkts, der Assertions vom IdP empfängt und verarbeitet.
    Endpunkt-URL des Abmeldeservice Die URL des Identitätsdomain-Serviceendpunkts, der Abmeldeanforderungen vom IdP empfängt und verarbeitet.
    Rückgabe-URL des Abmeldeservice Die URL des Identitätsdomain-Serviceendpunkts, der Abmeldeantworten vom IdP empfängt und verarbeitet.
    Signaturzertifikat des Serviceproviders Um das Signaturzertifikat der Identitätsdomain zu exportieren, klicken Sie auf Herunterladen. Wählen Sie die Datei aus, die das Signaturzertifikat enthält. Mit diesem Zertifikat verifiziert der IdP die Signatur in SAML-Anforderungen und -Antworten, die von der Identitätsdomain an den IdP gesendet werden.
    Verschlüsselungszertifikat des Serviceproviders Um das Verschlüsselungszertifikat der Identitätsdomain zu exportieren, klicken Sie auf Herunterladen. Wählen Sie die Datei aus, die das Verschlüsselungszertifikat enthält. Mit diesem Zertifikat verschlüsselt der IdP SAML-Assertions, die er an die Identitätsdomain sendet. Das ist nur erforderlich, wenn der IdP verschlüsselte Assertions unterstützt.

    Informationen zum Abrufen des Root-Zertifikats der ausstellenden Identitätsdomain finden Sie unter Root-Zertifikat abrufen.

  8. Klicken Sie auf Weiter.
  9. Klicken Sie auf der Seite IdP testen auf Anmeldung testen, um die Konfigurationseinstellungen für den IdP zu testen. (Sie müssen bei der Identitätsdomain angemeldet sein, für die Sie den IdP konfiguriert haben, um die Konfigurationseinstellungen zu testen.)
  10. Klicken Sie Weiter.
  11. Klicken Sie auf der Seite IdP aktivieren auf Aktivieren, um den IdP zu aktivieren.
  12. Klicken Sie auf Beenden.

SAML-Metadaten exportieren

SAML-Metadaten für eine Identitätsdomain in IAM werden exportiert.

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie dann auf Sicherheit, Identitätsprovider.
  3. Öffnen Sie einen Identitätsprovider.
  4. Klicken Sie auf SAML-Metadaten exportieren.
  5. Wählen Sie eine der folgenden Optionen aus:
    • Metadatendatei: Laden Sie die SAML-XML-Metadatendatei herunter, oder laden Sie die SAML-XML-Metadaten mit selbstsignierten Zertifikaten herunter.
    • Manueller Export: Wenn Sie die Metadaten manuell exportieren, können Sie aus mehreren SAML-Optionen wählen, z.B. der Entity-ID oder der Abmeldeantwort-URL. Nachdem Sie die Exportdatei kopiert haben, können Sie das Serviceprovider-Signaturzertifikat oder das Serviceprovider-Verschlüsselungszertifikat herunterladen.
    • Metadaten-URL: Wenn die IdP das direkte Herunterladen von SAML-Metadaten unterstützt. Klicken Sie auf Auf Signaturzertifikat zugreifen, damit Clients auf das Signaturzertifikat zugreifen können, ohne sich bei einer IdP anmelden zu müssen.

IdP-Metadaten konfigurieren

Geben Sie IdP-Metadatendetails manuell ein, oder importieren Sie eine Metadatendatei.

  1. Wählen Sie eine der folgenden Optionen aus:
    • Metadaten von IdP importieren: Wählen Sie diese Option aus, wenn Sie eine XML-Datei aus IdP exportiert haben. Verschieben Sie die XML-Datei per Drag-and-Drop, um die Metadaten hochzuladen, oder klicken Sie auf auswählen, um nach der Metadatendatei zu suchen.
    • Geben Sie IdP-Metadaten ein: Wählen Sie diese Option aus, wenn Sie die IdP-Metadaten manuell eingeben möchten. Geben Sie die folgenden Details ein:
      • Aussteller-URI des Identitätsproviders:
      • SSO-Service-URI
      • SSO-Service-Binding
      • Signaturzertifikat für Identitätsprovider hochladen
      • Verschlüsselungszertifikat für Identitätsprovider hochladen
      • Globale Abmeldung aktivieren
      • Abmeldeanforderung-URL von Identitätsprovider
      • Abmeldeantwort-URL von Identitätsprovider
      • Abmelden-Binding
  2. Wählen Sie die Methode Signatur-Hashing-Algorithmus.
  3. Wählen Sie aus, ob Sie ein Signaturzertifikat mit SAML-Nachricht signieren möchten.
  4. Klicken Sie Weiter.

Benutzerattribute zuordnen

Ordnen Sie die Beziehung zwischen den Benutzerattributen der IdP und den Benutzerattributen der Identitätsdomain zu.

  1. Wählen Sie im Feld ID-Format für angeforderten Namen eine Zuordnungsoption aus.

    Die Zuordnungsoptionen variieren je nach Identitätsprovider. Möglicherweise können Sie einem Oracle Cloud Infrastructure-Identitätsdomainwert direkt einen IdP-Wert zuweisen. Beispiel: NameID kann UserName zugeordnet werden. Wenn Sie das SAML-Assertion-Attribut als Quelle auswählen, wählen Sie den Assertion-Attributnamen aus, und geben Sie dann die Oracle Cloud Infrastructure-Identitätsdomain ein.

    Wenn Sie Benutzerdefiniert auswählen, geben Sie die Details in das Feld ID-Format für benutzerdefinierten Namen ein.

  2. Wählen Sie Felder in Identitätsprovider-Benutzerattribut aus, und wählen Sie ein entsprechendes Feld in Identitätsdomain-Benutzerattribut aus.
  3. Klicken Sie Weiter.

IdP prüfen und erstellen

Prüfen Sie, ob die Optionen IdP korrekt sind, und erstellen Sie IdP.

  1. Klicken Sie auf Anmeldung testen, um den Anmeldebildschirm IdP zu öffnen.
  2. Klicken Sie auf IdP erstellen.
    Hinweis

    Um eine IdP nach dem Erstellen zu bearbeiten, gehen Sie zur Liste Identitätsprovider, wählen Sie IdP aus, und bearbeiten Sie die IdP.