Oracle Cloud Infrastructure - Dokumentation

Just-in-time-SAML-Identitätsprovider hinzufügen

Richten Sie einen SAML-Identitätsprovider (IdP) ein, der Just-in-Time-(JIT-)Provisioning für eine Identitätsdomain in IAM verwendet.

  1. Wählen Sie auf der Listenseite Domains die Domain aus, in der Sie Änderungen vornehmen möchten. Wenn Sie Hilfe beim Suchen der Listenseite für die Domain benötigen, finden Sie weitere Informationen unter Identitätsdomains auflisten.
  2. Führen Sie je nach den angezeigten Optionen auf der Detailseite eine der folgenden Aktionen aus:
    • Föderation auswählen oder
    • Wählen Sie Sicherheit und dann Identitätsprovider aus. Eine Liste der Identitätsprovider in der Domain wird angezeigt.
  3. Wählen Sie den Namen eines Identitätsproviders aus.
  4. Wählen Sie auf der Detailseite JIT konfigurieren aus.
  5. Wählen Sie JIT-(Just-in-Time-)Provisioning aktivieren aus.
  6. Wählen Sie eine der folgenden Optionen aus:
    • Neuen Identitätsdomainbenutzer erstellen: Erstellen Sie einen Identitätsbenutzer in der Identitätsdomain, wenn der Benutzer bei der Anmeldung beim Identitätsprovider nicht vorhanden ist.
    • Vorhandenen Identitätsdomainbenutzer aktualisieren: Führen Sie Identitätsdomainbenutzeraccountdaten aus dem zugeordneten IdP zusammen, und überschreiben Sie sie. Die vorhandenen Daten werden von den Benutzerdaten aus der IdP überschrieben.
    Hinweis

    Um JIT zu aktivieren, müssen Sie eine dieser Optionen auswählen.
  7. Ordnen Sie im Bereich Benutzerattribute zuordnen einen Benutzeraccount aus der IdP einem Benutzeraccount aus der Identitätsdomain zu.
    1. Wählen Sie einen Wert in der Zeile IdP-Benutzerattributtyp aus.
      • Wenn Sie Attribut auswählen, geben Sie den Benutzerattributnamen IdP ein.
      • Wenn Sie NameID auswählen, müssen Sie den Benutzerattributnamen IdP nicht eingeben.
    2. (Optional) Wählen Sie das Benutzerattribut der Identitätsdomain aus.
    3. (Optional) Fügen Sie weitere Identitätsdomainattribute hinzu.
  8. Um die Gruppenzuordnung zu aktivieren, wählen Sie Gruppenzuordnung zuweisen aus.
    Hinweis

    Wenn Sie die Gruppenzuordnung aktivieren, fahren Sie mit dem nächsten Schritt fort. Falls nicht, fahren Sie mit Schritt 10 fort.
  9. Geben Sie unter Attributname der Gruppenmitgliedschaft den Attributnamen IdP ein, der Gruppenmitgliedschaften enthält.
  10. Um die Gruppeneinstellungen zu importieren, wählen Sie eine der folgenden Optionen:
    • Explizite Gruppenzuordnung definieren: Bei dieser Option müssen Sie den Gruppennamen angeben, der zwischen der IdP und der Identitätsdomain zugeordnet werden soll. Wenn Sie diese Option auswählen, geben Sie den Gruppennamen IdP ein, und wählen Sie einen verfügbaren Identitätsdomaingruppennamen aus.
    • Implizite Gruppenzuordnung zuweisen: Diese Option ordnet eine Gruppe IdP einer Identitätsdomaingruppe zu, die denselben Namen hat. Es ist keine weitere Aktion erforderlich.
  11. (Optional) Um Gruppenmitgliedschaften aus der Identitätsdomain zuzuweisen, wählen Sie Domaingruppenmitgliedschaften zuweisen aus, und führen Sie die folgenden Schritte aus:
    1. Wählen Sie Gruppe hinzufügen aus.
    2. Wählen Sie die Gruppen, die Sie hinzufügen möchten, und wählen Sie Gruppen hinzufügen aus.
  12. Geben Sie unter Zuweisungsregeln die Aktionen an, die beim Zuweisen von Gruppenmitgliedschaften ausgeführt werden sollen:
    • Wenn Benutzer vorhandenen Gruppen zugewiesen sind, wählen Sie aus, ob sie mit vorhandenen Gruppenmitgliedschaften zusammengeführt oder vorhandene Gruppenmitgliedschaften ersetzt werden sollen.
  13. Wenn keine Gruppe gefunden wird, führen Sie eine der folgenden Aktionen aus:
    • Fehlende Gruppe ignorieren: Der Benutzer hat sich erfolgreich angemeldet.
    • Vollständige Anforderung nicht erfolgreich: Der Anmeldeversuch ist nicht erfolgreich.
  14. Wählen Sie Änderungen speichern aus.
  15. (Optional) Aktivieren Sie die IdP, bevor Sie sie zu Policys hinzufügen. Weitere Informationen finden Sie unter Identitätsprovider aktivieren oder Deaktivieren.