JIT-Provisioning von ADFS zu OCI IAM
In diesem Tutorial konfigurieren Sie das Just-In-Time-(JIT-)Provisioning zwischen OCI und Microsoft ADFS, wobei ADFS als IdP fungiert.
Sie können das JIT-Provisioning so einrichten, dass während der Laufzeit Identitäten im Zielsystem erstellt werden können, wie und wann sie eine Anforderung für den Zugriff auf das Zielsystem stellen.
In diesem Tutorial werden die folgenden Schritte behandelt:
- Aktualisieren Sie die Relying Party-Konfigurationen in ADFS.
- Aktualisieren Sie ADFS IdP in OCI IAM für JIT.
- Testen Sie, ob Sie Benutzer aus ADFS für OCI IAM bereitstellen können.
Dieses Tutorial ist spezifisch für IAM mit Identitätsdomains.
Um dieses Tutorial ausführen zu können, benötigen Sie Folgendes:
- Einen kostenpflichtigenOracle Cloud Infrastructure-(OCI-)Account oder einen OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.
- Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
- Eine ADFS-Installation. Hinweis
In diesem Tutorial wird die Verwendung der ADFS-Software beschrieben, die mit Microsoft Windows Server 2016 R2 bereitgestellt wird. - Darüber hinaus müssen Sie Folgendes überprüfen:
- Derselbe Benutzer ist in OCI und ADFS vorhanden.
- ADFS funktioniert.
- Öffnen Sie das ADFS-Management-Utility. Beispiel: Klicken Sie im Windows 2016 Server Manager-Utility auf Extras und dann auf Microsoft Active Directory Federation Services Management.
- Klicken Sie unter "ADFS" auf Relying Party Trusts.
- Klicken Sie mit der rechten Maustaste auf den Relying Partying Trust, den Sie zuvor für OCI mit dem Namen
OCI IAM
konfiguriert haben, im Tutorial SSO zwischen OCI und ADFS. - Wählen Sie Policy für Anspruchsausstellung bearbeiten.
- Bearbeiten Sie den E-Mail-Anspruch, um drei zusätzliche Anspruchsregeln für Vorname, Nachname und Gruppe hinzuzufügen.
Vornameattribut:
- LDAP-Attribut:
Given-Name
- Ausgehender Anspruchstyp:
Given Name
Attribut "Nachname":
- LDAP-Attribut:
Surname
- Ausgehender Anspruchstyp:
Surname
Gruppenattribut:
- LDAP-Attribut:
Token-Groups - Unqualified Names
- Ausgehender Anspruchstyp:
Group
- LDAP-Attribut:
- Klicken Sie auf der Seite "Regeln" auf OK und dann erneut auf OK.
Sie können zusätzliche Attribute hinzufügen, die Ihren Geschäftsanforderungen entsprechen. Sie benötigen diese jedoch nur für dieses Tutorial.
Konfigurieren Sie in der OCI-IAM-Konsole den ADFS IdP für JIT.
-
Öffnen Sie einen unterstützten Browser , und geben Sie die Konsolen-URL ein:
- Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
- Wählen Sie die Identitätsdomain aus, die zum Konfigurieren von SSO verwendet wird.
- Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
- Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit.
- Klicken Sie unter Identität auf Domains.
- Wählen Sie die Identitätsdomain aus, in der Sie ADFS bereits in Schritt 1 des Tutorials "SSO zwischen OCI und ADFS" als IdP konfiguriert haben.
- Klicken Sie links im Menü auf Sicherheit, Identitätsprovider.
- Klicken Sie auf ADFS IdP.Hinweis
Dies ist der ADFS-IdP, den Sie im Rahmen des Tutorials SSO zwischen OCI und ADFS erstellt haben. - Klicken Sie auf der ADFS-Seite IdP auf JIT konfigurieren.
- Gehen Sie auf der Seite {\b Configure Just-In-Time (JIT) Provisioning} wie folgt vor:
- Wählen Sie JIT-Bereitstellung aktivieren aus.
- Wählen Sie Neuen Identitätsdomainbenutzer erstellen aus.
- Wählen Sie Benutzer der vorhandenen Identitätsdomain aktualisieren aus.
- Unter Benutzerattribute zuordnen:
- Lassen Sie die erste Zeile für
NameID
unverändert. - Wählen Sie für andere Attribute unter IdP-Benutzerattribut die Option
Attribute
aus. - Geben Sie den IdP-Benutzerattributnamen wie folgt an:
- familyName:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
- primaryEmailAddress:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- familyName:
- Klicken Sie auf Zeile hinzufügen:
- Wählen Sie unter IdP user attribute die Option "
Attribute
" aus. - Geben Sie für den Benutzerattributnamen IdP
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
ein.
- Wählen Sie unter IdP user attribute die Option "
- Lassen Sie die erste Zeile für
- Wählen Sie Gruppenzuordnung zuweisen aus.
- Geben Sie den Attributnamen der Gruppenmitgliedschaft ein. Verwenden Sie
http://schemas.xmlsoap.org/claims/Group
. - Wählen Sie Explizite Gruppenmitgliedschaftszuordnungen definieren aus.
- Gehen Sie unter IdP-Gruppenname wird dem Namen der Identitätsdomaingruppe zugeordnet wie folgt vor:
- Geben Sie unter IdP-Gruppenname den Namen der Gruppe in ADFS an, die in der von ADFS gesendeten SAML-Assertion vorhanden sein wird.
- Wählen Sie unter Identitätsdomaingruppenname in OCI IAM die Gruppe in OCI IAM aus, die der entsprechenden Gruppe in ADFS zugeordnet werden soll.
- Wählen Sie unter Zuweisungsregeln Folgendes aus:
- Beim Zuweisen von Gruppenmitgliedschaften: Mit vorhandenen Gruppenmitgliedschaften zusammenführen
- Wenn eine Gruppe nicht gefunden wird: Fehlende Gruppe ignorieren
Hinweis
Wählen Sie Optionen basierend auf den Anforderungen Ihrer Organisation aus. - Klicken Sie auf Änderungen speichern.
- Erstellen Sie in ADFS einen Benutzer in ADFS, der nicht in OCI IAM vorhanden ist.
- Starten Sie den Browser neu, und geben Sie die Konsolen-URL für den Zugriff auf die OCI-Konsole ein:
cloud.oracle.com
- Geben Sie den Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
- Wählen Sie die Identitätsdomain aus, in der die JIT-Konfiguration aktiviert wurde.
- Klicken Sie in den Anmeldeoptionen auf ADFS.
- Geben Sie auf der ADFS-Anmeldeseite die Zugangsdaten des neu erstellten Benutzers an.
- Bei erfolgreicher Authentifizierung wird ein Account für den Benutzer in OCI IAM erstellt, und der Benutzer ist bei der OCI-Konsole angemeldet.
Sie können den neuen Benutzer in der OCI-Domain anzeigen und prüfen, ob er dieselben Identitätsattribute und Gruppenmitgliedschaften wie Sie eingegeben hat.
Herzlichen Glückwunsch. Sie haben das JIT-Provisioning zwischen ADFS und OCI IAM erfolgreich eingerichtet.
Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: