Oracle Cloud Infrastructure - Dokumentation

Just-in-time-SAML-Identitätsprovider hinzufügen

Richten Sie einen SAML-Identitätsprovider (IdP) ein, der Just-in-Time-(JIT-)Provisioning für eine Identitätsdomain in IAM verwendet.

  1. Navigieren Sie zur Identitätsdomain: Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
  2. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie dann auf Sicherheit, Identitätsprovider.
  3. Klicken Sie auf den Namen eines Identitätsproviders.
  4. Klicken Sie auf der Detailseite auf JIT konfigurieren.
  5. Wählen Sie JIT-Provisioning aktivieren aus.
  6. Wählen Sie eine der folgenden Optionen:
    • Neuen Identitätsdomainbenutzer erstellen: Erstellen Sie einen Identitätsbenutzer in der Identitätsdomain, wenn der Benutzer bei der Anmeldung beim Identitätsprovider nicht vorhanden ist.
    • Vorhandenen Identitätsdomainbenutzer aktualisieren: Benutzeraccountdaten der Identitätsdomain aus dem zugeordneten IdP zusammenführen und überschreiben. Die vorhandenen Daten werden von den Benutzerdaten aus der IdP überschrieben.
    Hinweis

    Um JIT zu aktivieren, müssen Sie eine dieser Optionen auswählen.
  7. Ordnen Sie im Bereich Benutzerattribute zuordnen einen Benutzeraccount aus der IdP einem Benutzeraccount aus der Identitätsdomain zu.
    1. Wählen Sie einen Wert in der Zeile IdP-Benutzerattributtyp aus.
      • Wenn Sie Attribut auswählen, geben Sie den Benutzerattributnamen IdP ein.
      • Wenn Sie NameID auswählen, müssen Sie den Benutzerattributnamen IdP nicht eingeben.
    2. (Optional) Wählen Sie das Identitätsdomain-Benutzerattribut aus.
    3. (Optional) Fügen Sie weitere Identitätsdomainattribute hinzu.
  8. Um die Gruppenzuordnung zu aktivieren, klicken Sie auf Gruppenzuordnung zuweisen.
    Hinweis

    Wenn Sie die Gruppenzuordnung aktivieren, fahren Sie mit dem nächsten Schritt fort. Wenn nicht, fahren Sie mit Schritt XXX fort.
  9. Geben Sie unter Attributname für Gruppenmitgliedschaft den Attributnamen IdP ein, der die Gruppenmitgliedschaften enthält.
  10. Um die Gruppeneinstellungen zu importieren, wählen Sie eine der folgenden Optionen:
    • Explizite Gruppenzuordnung definieren: Bei dieser Option müssen Sie den Gruppennamen angeben, der zwischen der IdP und der Identitätsdomain zugeordnet werden soll. Wenn Sie diese Option auswählen, geben Sie den Gruppennamen IdP ein, und wählen Sie einen verfügbaren Identitätsdomaingruppennamen aus.
    • Implizite Gruppenzuordnung zuweisen: Mit dieser Option wird eine IdP-Gruppe einer Identitätsdomaingruppe mit demselben Namen zugeordnet. Es ist keine weitere Aktion erforderlich.
  11. (Optional) Um Gruppenmitgliedschaften aus der Identitätsdomain zuzuweisen, wählen Sie Domaingruppenmitgliedschaften zuweisen aus, und führen Sie dann die folgenden Schritte aus:
    1. Klicken Sie auf Gruppe hinzufügen.
    2. Wählen Sie die Gruppen aus, die Sie hinzufügen möchten, und klicken Sie auf Gruppen hinzufügen.
  12. Geben Sie unter Zuweisungsregeln Aktionen an, die beim Zuweisen von Gruppenmitgliedschaften ausgeführt werden sollen:
    • Wenn Benutzer vorhandenen Gruppen zugewiesen sind, wählen Sie aus, ob die Zusammenführung mit vorhandenen Gruppenmitgliedschaften oder die Ersetzung vorhandener Gruppenmitgliedschaften erfolgen soll.
  13. Wenn eine Gruppe nicht gefunden wird, wählen Sie eine der folgenden Aktionen aus:
    • Fehlende Gruppe ignorieren: Der Benutzer meldet sich erfolgreich an.
    • Gesamte Anforderung nicht erfolgreich: Der Anmeldeversuch ist nicht erfolgreich.
  14. Klicken Sie auf Änderungen speichern.