Oracle Cloud Infrastructure - Dokumentation

JIT-Provisioning von ADFS zu OCI IAM

In diesem Tutorial konfigurieren Sie das Just-In-Time-(JIT-)Provisioning zwischen OCI und Microsoft ADFS, wobei ADFS als IdP fungiert.

Sie können das JIT-Provisioning so einrichten, dass während der Laufzeit Identitäten im Zielsystem erstellt werden können, wie und wann sie eine Anforderung für den Zugriff auf das Zielsystem stellen.

In diesem Tutorial werden die folgenden Schritte behandelt:

  1. Aktualisieren Sie die Relying Party-Konfigurationen in ADFS.
  2. Aktualisieren Sie ADFS IdP in OCI IAM für JIT.
  3. Testen Sie, ob Sie Benutzer aus ADFS für OCI IAM bereitstellen können.
Hinweis

Dieses Tutorial ist spezifisch für IAM mit Identitätsdomains.
Bevor Sie beginnen

Um dieses Tutorial ausführen zu können, benötigen Sie Folgendes:

  • Einen kostenpflichtigenOracle Cloud Infrastructure-(OCI-)Account oder einen OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.
  • Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
  • Eine ADFS-Installation.
    Hinweis

    In diesem Tutorial wird die Verwendung der ADFS-Software beschrieben, die mit Microsoft Windows Server 2016 R2 bereitgestellt wird.
  • Darüber hinaus müssen Sie Folgendes überprüfen:
    • Derselbe Benutzer ist in OCI und ADFS vorhanden.
    • ADFS funktioniert.
1. Trusted Relying Party-Konfigurationen in ADFS aktualisieren
  1. Öffnen Sie das ADFS-Management-Utility. Beispiel: Klicken Sie im Windows 2016 Server Manager-Utility auf Extras und dann auf Microsoft Active Directory Federation Services Management.
  2. Klicken Sie unter "ADFS" auf Relying Party Trusts.
  3. Klicken Sie mit der rechten Maustaste auf den Relying Partying Trust, den Sie zuvor für OCI mit dem Namen OCI IAM konfiguriert haben, im Tutorial SSO zwischen OCI und ADFS.
  4. Wählen Sie Policy für Anspruchsausstellung bearbeiten.
  5. Bearbeiten Sie den E-Mail-Anspruch, um drei zusätzliche Anspruchsregeln für Vorname, Nachname und Gruppe hinzuzufügen.

    Vornameattribut:

    • LDAP-Attribut: Given-Name
    • Ausgehender Anspruchstyp: Given Name

    Attribut "Nachname":

    • LDAP-Attribut: Surname
    • Ausgehender Anspruchstyp: Surname

    Gruppenattribut:

    • LDAP-Attribut: Token-Groups - Unqualified Names
    • Ausgehender Anspruchstyp: Group
  6. Klicken Sie auf der Seite "Regeln" auf OK und dann erneut auf OK.

Sie können zusätzliche Attribute hinzufügen, die Ihren Geschäftsanforderungen entsprechen. Sie benötigen diese jedoch nur für dieses Tutorial.

2. ADFS IdP in OCI IAM aktualisieren

Konfigurieren Sie in der OCI-IAM-Konsole den ADFS IdP für JIT.

  1. Öffnen Sie einen unterstützten Browser , und geben Sie die Konsolen-URL ein:

    https://cloud.oracle.com

  2. Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
  3. Wählen Sie die Identitätsdomain aus, die zum Konfigurieren von SSO verwendet wird.
  4. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
  5. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit.
  6. Klicken Sie unter Identität auf Domains.
  7. Wählen Sie die Identitätsdomain aus, in der Sie ADFS bereits in Schritt 1 des Tutorials "SSO zwischen OCI und ADFS" als IdP konfiguriert haben.
  8. Klicken Sie links im Menü auf Sicherheit, Identitätsprovider.
  9. Klicken Sie auf ADFS IdP.
    Hinweis

    Dies ist der ADFS-IdP, den Sie im Rahmen des Tutorials SSO zwischen OCI und ADFS erstellt haben.
  10. Klicken Sie auf der ADFS-Seite IdP auf JIT konfigurieren.
  11. Gehen Sie auf der Seite {\b Configure Just-In-Time (JIT) Provisioning} wie folgt vor:
    • Wählen Sie JIT-Bereitstellung aktivieren aus.
    • Wählen Sie Neuen Identitätsdomainbenutzer erstellen aus.
    • Wählen Sie Benutzer der vorhandenen Identitätsdomain aktualisieren aus.

    Just in Time Provisioning aktivieren

  12. Unter Benutzerattribute zuordnen:
    1. Lassen Sie die erste Zeile für NameID unverändert.
    2. Wählen Sie für andere Attribute unter IdP-Benutzerattribut die Option Attribute aus.
    3. Geben Sie den IdP-Benutzerattributnamen wie folgt an:
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Klicken Sie auf Zeile hinzufügen:
      • Wählen Sie unter IdP user attribute die Option "Attribute" aus.
      • Geben Sie für den Benutzerattributnamen IdP http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname ein.

      Zuordnung von Attributen zwischen ADFS und OCI IAM

  13. Wählen Sie Gruppenzuordnung zuweisen aus.
  14. Geben Sie den Attributnamen der Gruppenmitgliedschaft ein. Verwenden Sie http://schemas.xmlsoap.org/claims/Group.
  15. Wählen Sie Explizite Gruppenmitgliedschaftszuordnungen definieren aus.
  16. Gehen Sie unter IdP-Gruppenname wird dem Namen der Identitätsdomaingruppe zugeordnet wie folgt vor:
    • Geben Sie unter IdP-Gruppenname den Namen der Gruppe in ADFS an, die in der von ADFS gesendeten SAML-Assertion vorhanden sein wird.
    • Wählen Sie unter Identitätsdomaingruppenname in OCI IAM die Gruppe in OCI IAM aus, die der entsprechenden Gruppe in ADFS zugeordnet werden soll.

      Gruppenzuordnungen zuweisen

  17. Wählen Sie unter Zuweisungsregeln Folgendes aus:
    1. Beim Zuweisen von Gruppenmitgliedschaften: Mit vorhandenen Gruppenmitgliedschaften zusammenführen
    2. Wenn eine Gruppe nicht gefunden wird: Fehlende Gruppe ignorieren
    Hinweis

    Wählen Sie Optionen basierend auf den Anforderungen Ihrer Organisation aus.
  18. Klicken Sie auf Änderungen speichern.
3. JIT-Provisioning zwischen ADFS und OCI testen
In diesem Abschnitt können Sie testen, ob das JIT-Provisioning zwischen ADFS und OCI IAM funktioniert
  1. Erstellen Sie in ADFS einen Benutzer in ADFS, der nicht in OCI IAM vorhanden ist.
  2. Starten Sie den Browser neu, und geben Sie die Konsolen-URL für den Zugriff auf die OCI-Konsole ein:

    cloud.oracle.com

  3. Geben Sie den Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
  4. Wählen Sie die Identitätsdomain aus, in der die JIT-Konfiguration aktiviert wurde.
  5. Klicken Sie in den Anmeldeoptionen auf ADFS.

    ADFS-Symbol auf der Anmeldeseite

  6. Geben Sie auf der ADFS-Anmeldeseite die Zugangsdaten des neu erstellten Benutzers an.
  7. Bei erfolgreicher Authentifizierung wird ein Account für den Benutzer in OCI IAM erstellt, und der Benutzer ist bei der OCI-Konsole angemeldet.

    Sie können den neuen Benutzer in der OCI-Domain anzeigen und prüfen, ob er dieselben Identitätsattribute und Gruppenmitgliedschaften wie Sie eingegeben hat.

Weitere Schritte

Herzlichen Glückwunsch. Sie haben das JIT-Provisioning zwischen ADFS und OCI IAM erfolgreich eingerichtet.

Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: