Oracle Cloud Infrastructure - Dokumentation

SAML-Identitätsprovider verwalten

Mit der Konsole können Sie einen SAML 2.0-Identitätsprovider (IdP) zu einer Identitätsdomain hinzufügen, damit authentifizierte Benutzer von IdP auf Oracle Cloud Infrastructure zugreifen können.

Allgemeine Begriffe

Identitätsprovider (IdP)

Ein IdP ist ein Service, der identifizierende Zugangsdaten und Authentifizierungen für Benutzer bereitstellt.

Service Provider (SP)

Ein Service (wie eine Anwendung, eine Website usw.), der einen IdP zur Authentifizierung von Benutzern auffordert.

Führen Sie die folgenden Schritte aus, um eine SAML 2.0-IdP zu erstellen:

SAML-JIT-Provisioning konfigurieren

Das SAML-JIT-Deployment kann mit der Konsole oder dem /admin/v1/IdentityProviders-REST-API-Endpunkt konfiguriert werden. Informationen zum Konfigurieren des SAML-JIT-Provisionings finden Sie in den folgenden Referenzen:

SAML-Identitätsprovider hinzufügen

SAML-Details für einen Identitätsprovider eingeben.

  1. Wählen Sie auf der Listenseite Domains die Domain aus, in der Sie Änderungen vornehmen möchten. Wenn Sie Hilfe beim Suchen der Listenseite für die Domain benötigen, finden Sie weitere Informationen unter Identitätsdomains auflisten.
  2. Führen Sie je nach den angezeigten Optionen auf der Detailseite eine der folgenden Aktionen aus:
    • Föderation auswählen oder
    • Wählen Sie Sicherheit und dann Identitätsprovider aus. Eine Liste der Identitätsprovider in der Domain wird angezeigt.
  3. Führen Sie je nach den angezeigten Optionen eine der folgenden Aktionen aus:
    • Wählen Sie im Menü Aktionen des Identitätsproviders die Option SAML IdP hinzufügen aus, oder
    • Wählen Sie IdP hinzufügen und dann SAML IdP hinzufügen aus.
  4. Geben Sie folgende Informationen ein:
    • Name: Geben Sie den Namen der IdP ein.
    • (Optional) Beschreibung: Geben Sie eine Beschreibung der IdP ein.
    • (Optional) Identitätsprovidersymbol: Verschieben Sie ein unterstütztes Bild per Drag-and-Drop, oder wählen Sie aus aus, um das Bild zu suchen.
  5. Wählen Sie Weiter aus.
  6. Wählen Sie im Fenster Metadaten ändern die Schaltfläche SAML-Metadaten exportieren aus, um die SAML-Metadaten an den Identitätsprovider zu senden. Führen Sie einen der folgenden Schritte aus:
    • Metadaten IdP importieren: Wählen Sie diese Option aus, wenn eine XML-Datei aus Ihrer IdP exportiert wurde. Verschieben Sie die XML-Datei per Drag-and-Drop, um die Metadaten hochzuladen, oder wählen Sie Auswählen, um nach der Metadatendatei zu suchen.
    • Geben Sie IdP-Metadaten ein: Wählen Sie diese Option aus, wenn Sie die IdP-Metadaten manuell eingeben möchten. Geben Sie die folgenden Details ein:
      • Aussteller-URI des Identitätsproviders
      • SSO-Service-URI
      • SSO-Service-Binding
      • Signaturzertifikat für Identitätsprovider hochladen
      • Globale Abmeldung aktivieren
    • URL für Import von IdP: Geben Sie die URL der IdP-Metadaten ein.
  7. Wählen Sie Erweiterte Optionen anzeigen aus, wenn Sie Folgendes auswählen möchten:
    • Signatur-Hashing-Algorithmus: Wählen Sie SHA-256 oder SHA-1 aus
    • Verschlüsselte Assertion erforderlich: Gibt an, dass die Identitätsdomainautorisierung eine verschlüsselte Assertion von der IdP erwartet.
    • Authentifizierung erzwingen: Wählen Sie diese Option aus, damit Benutzer sich mit IdP authentifizieren müssen, auch wenn die Session noch gültig ist.
    • Angeforderter Authentifizierungskontext: Wählen Sie Authentifizierungsinhaltsklassenreferenzen aus.
    • Holder-of-Key-Betreffbestätigung erforderlich: Diese Option ist verfügbar, nachdem Sie eine von Holder-of-Key (HOK) unterstützte gültige Metadatendatei hochgeladen haben.
    • Signaturzertifikat mit SAML-Nachricht senden: Wählen Sie diese Option aus, um das Signaturzertifikat der Identitätsdomain mit SAML-Nachrichten aufzunehmen, die von Ihrer Identitätsdomain gesendet werden. Einige SAML-Provider erfordern das Signaturzertifikat, um die SAML-Partnerkonfiguration zu suchen.
  8. Wählen Sie Weiter aus.
  9. Führen Sie im Bildschirm SAML-Identitätsprovider hinzufügen die folgenden Schritte aus:
    1. Wählen Sie ein Angefordertes Namens-ID-Format aus.
  10. Ordnen Sie die von der IdP erhaltenen Identitätsattribute des Benutzers einer Oracle Cloud Infrastructure-Identitätsdomain zu.
    Die Zuordnungsoptionen variieren je nach Identitätsprovider. Sie können einem Oracle Cloud Infrastructure-Identitätsdomainwert direkt einen IdP-Wert zuweisen. Beispiel: NameID kann UserName zugeordnet werden. Wenn Sie das SAML-Assertion-Attribut als Quelle auswählen, wählen Sie den Assertion-Attributnamen aus, und geben Sie dann die Oracle Cloud Infrastructure-Identitätsdomain ein.
  11. Klicken Sie auf Weiterleiten.
  12. Prüfen Sie im Fenster Prüfen und erstellen Ihre SAML-Identitätsprovidereinstellungen. Wenn die Einstellungen richtig sind, wählen Sie Erstellen. Wählen Sie Bearbeiten neben den Einstellungen aus, wenn Sie sie ändern müssen.
  13. Die Konsole zeigt eine Nachricht an, wenn der SAML-Identitätsprovider erstellt wird. Auf der Überblickseite können Sie:
    • Wählen Sie Test aus, um sicherzustellen, dass die SAML-SSO-Verbindung ordnungsgemäß funktioniert.
    • Wählen Sie Aktivieren aus, um die IdP für die Verwendung durch die Identitätsdomain zu aktivieren.
    • Wählen Sie Zu IdP-Policy-Regel hinzufügen aus, um diesen SAML-Identitätsprovider einer von Ihnen erstellten vorhandenen Policy-Regel zuzuweisen.
  14. Wählen Sie Schließen.
Metadaten für einen SAML-Identitätsprovider importieren

Importieren Sie die SAML-Metadaten für einen Identitätsprovider.

  1. Wählen Sie auf der Listenseite Domains die Domain aus, in der Sie Änderungen vornehmen möchten. Wenn Sie Hilfe beim Suchen der Listenseite für die Domain benötigen, finden Sie weitere Informationen unter Identitätsdomains auflisten.
  2. Führen Sie je nach den angezeigten Optionen auf der Detailseite eine der folgenden Aktionen aus:
    • Föderation auswählen oder
    • Wählen Sie Sicherheit und dann Identitätsprovider aus. Eine Liste der Identitätsprovider in der Domain wird angezeigt.
  3. Führen Sie je nach den angezeigten Optionen eine der folgenden Aktionen aus:
    • Wählen Sie im Menü Aktionen des Identitätsproviders die Option SAML IdP hinzufügen aus, oder
    • Wählen Sie IdP hinzufügen, SAML IdP hinzufügen aus.
  4. Geben Sie Details für den IdP ein:
    Feld Beschreibung
    Name Geben Sie den Namen des IdP ein.
    Beschreibung Geben Sie erläuternde Informationen zum IdP ein.
    Symbol Suchen Sie nach einem Symbol für den IdP, und wählen Sie es aus, oder verschieben Sie es per Drag-and-Drop. Das Symbol muss eine Größe von 95 x 95 Pixel und einen transparenten Hintergrund haben. Unterstützte Dateiformate sind .png, .fig, .jpg, .jpeg.
  5. Wählen Sie Weiter aus. Geben Sie die Konfigurationsdetails ein:
    Feld Beschreibung
    Identitätsprovider-Metadaten importieren Wählen Sie diese Option aus, um die Metadaten für den IdP zu importieren.
    Identitätsprovider-Metadaten Wählen Sie die XML-Datei mit den Metadaten für den IdP aus, den Sie importieren möchten.

    Hinweis: Sie können nur einen IdP in der Identitätsdomain mit einer bestimmten Aussteller-ID definieren (auch als Provider-ID oder Entity-ID bezeichnet). Das Attribut "Entity-ID" ist Teil der IdP-Metadaten. Sie können also nur einen IdP mit einer bestimmten Metadatendatei erstellen. Außerdem können Sie einen IdP mit neuen Metadaten aktualisieren, seine Aussteller-ID jedoch nicht ändern.
    Signaturzertifikat mit SAML-Nachricht senden

    Um das Signaturzertifikat der Identitätsdomain in SAML-Nachrichten aufzunehmen, die an die IdP gesendet werden, aktivieren Sie dieses Kontrollkästchen. Das Signaturzertifikat wird zur Verifizierung der Signatur der Nachrichten für den IdP verwendet. Diese Verifizierung ist in der Regel nicht erforderlich, aber einige IdPs erfordern sie im Rahmen ihres Signaturverifizierungsprozesses.
    Signatur-Hashing-Algorithmus
    Wählen Sie den sicheren Hash-Algorithmus aus, mit dem Nachrichten an den IdP signiert werden sollen.
    • Der Standardwert ist SHA-256.

    • Wenn der IdP SHA-256 nicht unterstützt, wählen Sie SHA-1 aus.
  6. Wählen Sie Weiter aus. Konfigurieren Sie die Zuordnung zwischen Benutzerattributen von IdP und Identitätsdomain:
    Feld Beschreibung
    Identitätsprovider-Benutzerattribut

    Wählen Sie den Benutzerattributwert vom IdP aus, mit dem der Benutzer eindeutig identifiziert werden kann.

    Sie können die Namens-ID der Assertion angeben. Sie können auch ein anderes SAML-Attribut aus der Assertion angeben, indem Sie es in das Textfeld Assertion-Attribut eingeben.
    Identitätsdomain-Benutzerattribut

    Wählen Sie das Attribut in der Identitätsdomain aus, dem Sie das Attribut vom IdP zuordnen.

    Sie können den Benutzernamen oder ein anderes Attribut angeben (z.B. den Anzeigenamen des Benutzers, die primäre oder die Wiederherstellungs-E-Mail-Adresse oder eine externe ID). Sie verwenden die externe ID, wenn Sie das vom IdP empfangene Attribut einer speziellen ID zuordnen möchten, die mit dem Provider verknüpft ist.
    Angefordertes NameID-Format

    Wenn SAML-Authentifizierungsanforderungen an den IdP gesendet werden, können Sie ein Namens-ID-Format in der Anforderung angeben.

    Wenn der IdP dieses Format in der Anforderung nicht erfordert, wählen Sie <Keine angefordert> aus.
  7. Klicken Sie auf IdP erstellen. Exportieren Sie die SAML-Metadaten der Identitätsdomain:
    Aufgabe Beschreibung
    Serviceprovidermetadaten

    Um Metadaten für die Identitätsdomain zu exportieren, wählen Sie Download aus. Importieren Sie diese Metadaten dann in den IdP. Wenn der IdP das Importieren eines XML-Dokuments mit SAML-Metadaten nicht unterstützt, konfigurieren Sie den IdP mit den folgenden Informationen manuell.

    Wenn der Föderationspartner, in den Sie die Identitätsdomainmetadaten importieren, eine CRL-Validierung ausführt (AD FS führt z.B. eine CRL-Validierung aus), laden Sie die Metadaten von https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true herunter, anstatt die über diese Schaltfläche exportierten Metadaten zu verwenden.

    Aktivieren Sie den Switch unter "Zugriff auf das Signaturzertifikat" in Standardeinstellungen, damit Clients auf die Metadaten zugreifen können, ohne sich bei der Identitätsdomain anzumelden.
    Serviceprovider-Metadaten mit selbstsignierten Zertifikaten

    Um Metadaten zusammen mit selbstsignierten Zertifikaten für die Identitätsdomain zu exportieren, wählen Sie Download aus. Importieren Sie diese Metadaten dann in den IdP. Wenn der IdP das Importieren eines XML-Dokuments mit SAML-Metadaten nicht unterstützt, konfigurieren Sie den IdP mit den folgenden Informationen manuell.

    Wenn der Föderationspartner, in den Sie die Identitätsdomainmetadaten importieren, eine CRL-Validierung ausführt (AD FS führt z.B. eine CRL-Validierung aus), laden Sie die Metadaten von https://[instancename.idcs.internal.oracle.com:port]/fed/v1/metadata?adfsmode=true herunter, anstatt die über diese Schaltfläche exportierten Metadaten zu verwenden.

    Aktivieren Sie den Switch unter "Zugriff auf das Signaturzertifikat" in Standardeinstellungen, damit Clients auf die Metadaten zugreifen können, ohne sich bei der Identitätsdomain anzumelden.
    Mitarbeiterkennung

    Die URI (Uniform Resource Identifier), die die Identitätsdomain eindeutig identifiziert. Die Provider-ID wird auch als Aussteller-ID oder Entity-ID bezeichnet.
    Assertion-Consumer-Service-URL Die URL (Uniform Resource Locator) des Identitätsdomain-Serviceendpunkts, der Assertions vom IdP empfängt und verarbeitet.
    Endpunkt-URL des Abmeldeservice Die URL des Identitätsdomain-Serviceendpunkts, der Abmeldeanforderungen vom IdP empfängt und verarbeitet.
    Rückgabe-URL des Abmeldeservice Die URL des Identitätsdomain-Serviceendpunkts, der Abmeldeantworten vom IdP empfängt und verarbeitet.
    Signaturzertifikat des Serviceproviders Um das Signaturzertifikat der Identitätsdomain zu exportieren, wählen Sie Download aus. Wählen Sie die Datei aus, die das Signaturzertifikat enthält. Mit diesem Zertifikat verifiziert der IdP die Signatur in SAML-Anforderungen und -Antworten, die von der Identitätsdomain an den IdP gesendet werden.
    Verschlüsselungszertifikat des Serviceproviders Um das Verschlüsselungszertifikat der Identitätsdomain zu exportieren, wählen Sie Download aus. Wählen Sie die Datei aus, die das Verschlüsselungszertifikat enthält. Mit diesem Zertifikat verschlüsselt der IdP SAML-Assertions, die er an die Identitätsdomain sendet. Das ist nur erforderlich, wenn der IdP verschlüsselte Assertions unterstützt.

    Informationen zum Abrufen des Root-Zertifikats der ausstellenden Identitätsdomain finden Sie unter Root-Zertifikat abrufen.

  8. Wählen Sie Weiter aus.
  9. Wählen Sie auf der Seite IdP testen die Option Anmeldung testen aus, um die Konfigurationseinstellungen für die IdP zu testen. (Sie müssen bei der Identitätsdomain angemeldet sein, für die Sie den IdP konfiguriert haben, um die Konfigurationseinstellungen zu testen.)
  10. Wählen Sie Weiter aus.
  11. Wählen Sie auf der Seite IdP aktivieren die Option Aktivieren aus, um die IdP zu aktivieren.
  12. Wählen Sie Fertig.

SAML-Metadaten exportieren

SAML-Metadaten für eine Identitätsdomain in IAM werden exportiert.

  1. Wählen Sie auf der Listenseite Domains die Domain aus, in der Sie Änderungen vornehmen möchten. Wenn Sie Hilfe beim Suchen der Listenseite für die Domain benötigen, finden Sie weitere Informationen unter Identitätsdomains auflisten.
  2. Führen Sie je nach den angezeigten Optionen auf der Detailseite eine der folgenden Aktionen aus:
    • Föderation auswählen oder
    • Wählen Sie Sicherheit und dann Identitätsproider aus. Eine Liste der Identitätsprovider in der Domain wird angezeigt.
  3. Öffnen Sie einen Identitätsprovider.
  4. Wählen Sie SAML-Metadaten exportieren aus.
  5. Wählen Sie eine der folgenden Optionen aus:
    • Metadatendatei: Laden Sie die SAML-XML-Metadatendatei herunter, oder laden Sie die SAML-XML-Metadaten mit selbstsignierten Zertifikaten herunter.
    • Manueller Export: Wenn Sie die Metadaten manuell exportieren, können Sie aus mehreren SAML-Optionen wählen, z.B. der Entity-ID oder der Abmeldeantwort-URL. Nachdem Sie die Exportdatei kopiert haben, können Sie das Serviceprovider-Signaturzertifikat oder das Serviceprovider-Verschlüsselungszertifikat herunterladen.
    • Metadaten-URL: Wenn Ihre IdP das direkte Herunterladen von SAML-Metadaten unterstützt. Wählen Sie Zugriff auf Signaturzertifikat aus, damit Clients auf das Signaturzertifikat zugreifen können, ohne sich bei einer IdP anmelden zu müssen.

IdP-Metadaten konfigurieren

Geben Sie IdP-Metadatendetails manuell ein, oder importieren Sie eine Metadatendatei.

  1. Wählen Sie eine der folgenden Optionen aus:
    • Metadaten IdP importieren: Wählen Sie diese Option aus, wenn eine XML-Datei aus Ihrer IdP exportiert wurde. Verschieben Sie die XML-Datei per Drag-and-Drop, um die Metadaten hochzuladen, oder wählen Sie Auswählen, um nach der Metadatendatei zu suchen.
    • Geben Sie IdP-Metadaten ein: Wählen Sie diese Option aus, wenn Sie die IdP-Metadaten manuell eingeben möchten. Geben Sie die folgenden Details ein:
      • Aussteller-URI des Identitätsproviders:
      • SSO-Service-URI
      • SSO-Service-Binding
      • Signaturzertifikat für Identitätsprovider hochladen
      • Verschlüsselungszertifikat für Identitätsprovider hochladen
      • Globale Abmeldung aktivieren
      • Abmeldeanforderung-URL von Identitätsprovider
      • Abmeldeantwort-URL von Identitätsprovider
      • Abmelden-Binding
  2. Wählen Sie die Methode Signatur-Hashing-Algorithmus.
  3. Wählen Sie aus, ob Sie ein Signaturzertifikat mit SAML-Nachricht signieren möchten.
  4. Wählen Sie Weiter aus.

Benutzerattribute zuordnen

Ordnen Sie die Beziehung zwischen den Benutzerattributen der IdP und den Benutzerattributen der Identitätsdomain zu.

  1. Wählen Sie im Feld ID-Format für angeforderten Namen eine Zuordnungsoption aus.

    Die Zuordnungsoptionen variieren je nach Identitätsprovider. Möglicherweise können Sie einem Oracle Cloud Infrastructure-Identitätsdomainwert direkt einen IdP-Wert zuweisen. Beispiel: NameID kann UserName zugeordnet werden. Wenn Sie das SAML-Assertion-Attribut als Quelle auswählen, wählen Sie den Assertion-Attributnamen aus, und geben Sie dann die Oracle Cloud Infrastructure-Identitätsdomain ein.

    Wenn Sie Benutzerdefiniert auswählen, geben Sie die Details in das Feld ID-Format für benutzerdefinierten Namen ein.

  2. Wählen Sie Felder in Identitätsprovider-Benutzerattribut aus, und wählen Sie ein entsprechendes Feld in Identitätsdomain-Benutzerattribut aus.
  3. Wählen Sie Weiter aus.

IdP prüfen und erstellen

Prüfen Sie, ob die Optionen IdP korrekt sind, und erstellen Sie IdP.

  1. Wählen Sie Anmeldung testen aus, um den Anmeldebildschirm IdP zu öffnen.
  2. Wählen Sie IdP erstellen aus.
    Hinweis

    Um eine IdP nach dem Erstellen zu bearbeiten, gehen Sie zur Liste Identitätsprovider, wählen Sie die IdP aus, und bearbeiten Sie die IdP.