Oracle Cloud Infrastructure - Dokumentation

JIT-Provisioning von ADFS zu OCI IAM

In diesem Tutorial konfigurieren Sie das Just-In-Time-(JIT-)Provisioning zwischen OCI und Microsoft ADFS, wobei ADFS als IdP fungiert.

Sie können das JIT-Provisioning so einrichten, dass Identitäten während der Laufzeit im Zielsystem erstellt werden können, sobald sie eine Anforderung für den Zugriff auf das Zielsystem stellen.

In diesem Tutorial werden die folgenden Schritte behandelt:

  1. Aktualisieren Sie die Relying Party-Konfigurationen in ADFS.
  2. Aktualisieren Sie ADFS IdP in OCI IAM für JIT.
  3. Testen Sie, ob Sie Benutzer aus ADFS für OCI IAM bereitstellen können.
Hinweis

Dieses Tutorial ist spezifisch für IAM mit Identitätsdomains.
Bevor Sie beginnen

Um dieses Tutorial ausführen zu können, benötigen Sie Folgendes:

  • Ein kostenpflichtiger Oracle Cloud Infrastructure-(OCI-)Account oder ein OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.
  • Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
  • Eine ADFS-Installation.
    Hinweis

    In diesem Tutorial wird die Verwendung der ADFS-Software beschrieben, die mit Microsoft Windows Server 2016 R2 bereitgestellt wird.
  • Darüber hinaus müssen Sie Folgendes prüfen:
    • Derselbe Benutzer ist in OCI und ADFS vorhanden.
    • ADFS funktioniert.
1. Konfigurationen der vertrauenswürdigen Relying Party in ADFS aktualisieren
  1. Öffnen Sie das ADFS-Management-Utility. Beispiel: Wählen Sie im Windows 2016 Server Manager-Utility Extras und dann Microsoft Active Directory Federation Services Management aus.
  2. Wählen Sie unter ADFS die Option Relying Party Trusts aus.
  3. Klicken Sie mit der rechten Maustaste auf den Relying Partying Trust, den Sie zuvor für OCI mit dem Namen OCI IAM im Tutorial SSO zwischen OCI und ADFS konfiguriert haben.
  4. Wählen Sie Claim Issuance Policy bearbeiten.
  5. Bearbeiten Sie den E-Mail-Anspruch, um drei zusätzliche Anspruchsregeln für Vorname, Nachname und Gruppe hinzuzufügen.

    Vorname-Attribut:

    • LDAP-Attribut: Given-Name
    • Ausgehender Anspruchstyp: Given Name

    Nachnamenattribut:

    • LDAP-Attribut: Surname
    • Ausgehender Anspruchstyp: Surname

    Gruppenattribut:

    • LDAP-Attribut: Token-Groups - Unqualified Names
    • Ausgehender Anspruchstyp: Group
  6. Wählen Sie auf der Seite "Regeln" OK und dann erneut OK.

Sie können zusätzliche Attribute hinzufügen, die Ihren Geschäftsanforderungen entsprechen. Sie benötigen diese jedoch nur für dieses Tutorial.

2. ADFS IdP in OCI IAM aktualisieren

Konfigurieren Sie in der OCI IAM-Konsole ADFS IdP für JIT.

  1. Öffnen Sie einen unterstützten Browser, und geben Sie die Konsolen-URL an:

    https://cloud.oracle.com

  2. Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, und wählen Sie Weiter aus.
  3. Wählen Sie die Identitätsdomain aus, die zur Konfiguration von SSO verwendet wird.
  4. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
  5. Öffnen sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus.
  6. Wählen Sie unter Identität die Option Domains aus.
  7. Wählen Sie die Identitätsdomain aus, in der Sie ADFS bereits als IdP in Schritt 1 des Tutorials "SSO zwischen OCI und ADFS" konfiguriert haben.
  8. Wählen Sie im Menü links die Option Sicherheit, Identitätsprovider aus.
  9. Wählen Sie ADFS IdP aus.
    Hinweis

    Dies ist der ADFS IdP, den Sie im Tutorial SSO zwischen OCI und ADFS erstellt haben.
  10. Wählen Sie auf der ADFS-Seite IdP die Option JIT konfigurieren aus.
  11. Auf der Seite "JIT-(Just-in-Time-(JIT-)Provisioning konfigurieren":
    • Wählen Sie Just-In-Time-(JIT-)Provisioning aktivieren aus.
    • Wählen Sie Neuen Identitätsdomainbenutzer erstellen aus.
    • Wählen Sie Vorhandenen Identitätsdomainbenutzer aktualisieren aus.

    just-in-time-Provisioning aktivieren

  12. Unter Benutzerattribute zuordnen:
    1. Lassen Sie die erste Zeile für NameID unverändert.
    2. Wählen Sie für andere Attribute unter IdP user attribute die Option Attribute aus.
    3. Geben Sie den Benutzerattributnamen IdP wie folgt an:
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Wählen Sie Zeile hinzufügen aus:
      • Wählen Sie unter IdP user attribute die Option "Attribute" aus.
      • Geben Sie für den Benutzerattributnamen IdP http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname ein.

      Zuordnung von Attributen zwischen ADFS und OCI IAM

  13. Wählen Sie Gruppenzuordnung zuweisen aus.
  14. Geben Sie den Attributnamen für Gruppenmitgliedschaft ein. Verwenden Sie http://schemas.xmlsoap.org/claims/Group.
  15. Wählen Sie Explizite Zuordnungen für Gruppenmitgliedschaften definieren aus.
  16. Führen Sie unter IdP-Gruppenname wird dem Namen der Identitätsdomaingruppe zugeordnet die folgenden Schritte aus:
    • Geben Sie unter IdP-Gruppenname den Namen der Gruppe in ADFS an, die in der von ADFS gesendeten SAML-Assertion vorhanden ist.
    • Wählen Sie unter Identitätsdomaingruppenname in OCI IAM die Gruppe in OCI IAM aus, die der entsprechenden Gruppe in ADFS zugeordnet werden soll.

      Gruppenzuordnungen zuweisen

  17. Wählen Sie unter Zuweisungsregeln Folgendes aus:
    1. Beim Zuweisen von Gruppenmitgliedschaften: Mit vorhandenen Gruppenmitgliedschaften zusammenfassen
    2. Wenn eine Gruppe nicht gefunden wird: Fehlende Gruppe ignorieren
    Hinweis

    Wählen Sie Optionen basierend auf den Anforderungen Ihrer Organisation aus.
  18. Wählen Sie Änderungen speichern aus.
3. JIT-Provisioning zwischen ADFS und OCI testen
In diesem Abschnitt können Sie testen, ob das JIT-Provisioning zwischen ADFS und OCI IAM funktioniert
  1. Erstellen Sie in ADFS einen Benutzer in ADFS, der nicht in OCI IAM vorhanden ist.
  2. Starten Sie den Browser neu, und geben Sie die Konsolen-URL ein, um auf die OCI-Konsole zuzugreifen:

    cloud.oracle.com

  3. Geben Sie den Cloud-Accountnamen ein, der auch als Mandantenname bezeichnet wird, und wählen Sie Weiter aus.
  4. Wählen Sie die Identitätsdomain aus, in der die JIT-Konfiguration aktiviert wurde.
  5. Wählen Sie in den Anmeldeoptionen ADFS aus.

    ADFS-Symbol auf Anmeldeseite

  6. Geben Sie auf der ADFS-Anmeldeseite die Zugangsdaten des neu erstellten Benutzers an.
  7. Bei erfolgreicher Authentifizierung wird ein Account für den Benutzer in OCI IAM erstellt, und der Benutzer wird bei der OCI-Konsole angemeldet.

    Sie können den neuen Benutzer in der OCI-Domain anzeigen und prüfen, ob er dieselben Identitätsattribute und Gruppenmitgliedschaften aufweist, die Sie eingegeben haben.

Weitere Schritte

Herzlichen Glückwunsch. Sie haben das JIT-Provisioning zwischen ADFS und OCI IAM erfolgreich eingerichtet.

Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: