Oracle Cloud Infrastructure - Dokumentation

SSO zwischen OCI und ADFS

In diesem Tutorial konfigurieren Sie SSO zwischen OCI IAM und ADFS mit ADFS als Identitätsprovider (IdP).

In diesem 30-minütigen Tutorial erfahren Sie, wie Sie OCI IAM, das als Serviceprovider (SP) fungiert, mit ADFS als IdP integrieren können. Durch das Einrichten der Föderation zwischen ADFS und OCI IAM aktivieren Sie den Zugriff von Benutzern auf Services und Anwendungen in OCI mit Benutzerzugangsdaten, die ADFS authentifiziert.

In diesem Tutorial wird die Einrichtung von ADFS als IdP für OCI IAM erläutert.

OCI IAM bietet Integration mit SAML 2.0 IdPs. Diese Integration:

  • Funktioniert mit föderierten Single Sign-On-(SSO-)Lösungen, die mit SAML 2.0 als IdP kompatibel sind, wie ADFS.
  • Ermöglicht es Benutzern, sich mit ihren ADFS-Zugangsdaten bei OCI anzumelden.
  • Benutzer können sich bei Endanwendungen anmelden.
  1. Laden Sie zunächst die Metadaten aus der OCI IAM-Identitätsdomain herunter.
  2. In den nächsten Schritten erstellen und konfigurieren Sie eine Relying Party in ADFS.
  3. Richten Sie in ADFS SSO mit OCI IAM mit den Metadaten ein.
  4. Bearbeiten Sie in ADFS die Attribute und Claims so, dass der E-Mail-Name als ID für Benutzer verwendet wird.
  5. Fügen Sie in ADFS der App einen Benutzer hinzu.
  6. Kehren Sie für die nächsten Schritte zu der Identitätsdomain zurück, um das Setup und die Konfiguration abzuschließen. Aktualisieren Sie in OCI IAM die Standard-Policy IdP, um ADFS hinzuzufügen.
  7. Testen Sie, ob die kombinierte Authentifizierung zwischen OCI IAM und ADFS funktioniert.
Hinweis

Dieses Tutorial ist spezifisch für IAM mit Identitätsdomains.
Bevor Sie beginnen

Um dieses Tutorial ausführen zu können, benötigen Sie Folgendes:

  • Einen kostenpflichtigenOracle Cloud Infrastructure-(OCI-)Account oder einen OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.
  • Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
  • Eine On-Premise-ADFS-Installation.
    Hinweis

    In diesem Tutorial wird die Verwendung der ADFS-Software beschrieben, die mit Microsoft Windows Server 2016 R2 bereitgestellt wird.
  • Außerdem müssen Sie prüfen, ob derselbe Benutzer in OCI und ADFS vorhanden ist und ob ADFS funktioniert.
Gleichen Benutzer auf beiden Systemen erstellen

Stellen Sie sicher, dass in beiden Systemen ein Benutzer mit derselben E-Mail-Adresse vorhanden ist.

Damit SAML SSO zwischen ADFS und OCI IAM funktioniert, muss ein Benutzer mit derselben E-Mail-Adresse sowohl in der Microsoft Active Directory-Domain als auch in der OCI IAM-Identitätsdomain vorhanden sein. In dieser Aufgabe bestätigen Sie, dass ein solcher Benutzer auf beiden Systemen vorhanden ist.

  1. Öffnen Sie das Microsoft Active Directory-Dienstprogramm "Benutzer und Computer". Klicken Sie in Windows 2016 Server auf Servermanager, Extras, Active Directory-Benutzer und -Computer.
  2. Doppelklicken Sie im Ordner Mitarbeiter auf den Benutzer, den Sie verwenden möchten. Notieren Sie sich die E-Mail-Adresse des Benutzers.
    ADFS USER(adfsuser01@gmail.com)

    Benutzer in Active Directory-Dienstprogramm "Benutzer und Computer"

    Hinweis

    Wenn mehrere Benutzer in der OCI-IAM-Domain dieselbe E-Mail-Adresse haben, verläuft SAML-SSO nicht erfolgreich, da nicht bestimmt werden kann, welcher Benutzer angemeldet werden soll.

    • Die E-Mail-Adresse des Benutzers wird verwendet, um den bei ADFS angemeldeten Benutzer mit demselben Benutzereintrag in OCI IAM zu verknüpfen.
    • Wenn Sie keinen ADFS-Benutzer zum Testen der Verbindung haben, können Sie einen erstellen.
  3. Geben Sie in einem Browser die Konsolen-URL für den Zugriff auf die OCI-IAM-Konsole ein:

    https://cloud.oracle.com

  4. Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
  5. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
  6. Wählen Sie die Domain aus, die Sie verwenden möchten.
  7. Klicken Sie auf Benutzer.
  8. Geben Sie im Suchfeld die E-Mail-Adresse ein, die Sie aus Microsoft Active Directory erfasst haben.
  9. Prüfen Sie in den Suchergebnissen, ob ein Benutzer mit derselben E-Mail-Adresse wie der Benutzer im Microsoft Active Directory vorhanden ist.
    Hinweis

    Wenn der Benutzer nicht in OCI IAM vorhanden ist, klicken Sie auf Hinzufügen, und erstellen Sie den Benutzer mit derselben E-Mail-Adresse wie in Microsoft Active Directory.
Prüfen, ob ADFS ausgeführt wird

Prüfen Sie, ob ADFS ausgeführt wird und ob Sie den Benutzer erfolgreich zur Anmeldung herausfordern können.

  1. Melden Sie sich im Browser über den folgenden URL bei ADFS an: 
    https://adfs.example.com/adfs/ls/IdpInitiatedSignOnPage
    Dabei ist adfs.example.com Ihr ADFS-Hostname.
  2. Falls erforderlich, wählen Sie Bei dieser Site anmelden. Klicken Sie auf Anmelden.
  3. Geben Sie die Microsoft Active Directory-Zugangsdaten für einen Benutzer ein, der sowohl in ADFS als auch in OCI IAM vorhanden ist (in diesem Beispiel adfsuser01), und klicken Sie auf Anmelden.

    ADFS-Anmeldeseite

  4. Die Meldung You are signed in wird angezeigt.

    ADFS-Bestätigung, dass Sie angemeldet sind

1. ADFS als IdP in OCI IAM erstellen
  1. Melden Sie sich im Browser über den folgenden URL bei ADFS an: 
    https://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
    Dabei ist adfs.example.com Ihr ADFS-Hostname.
  2. Speichern Sie die Datei FederationMetadata.xml. Mit dieser Datei registrieren Sie ADFS bei OCI IAM.
  3. Navigieren Sie in der OCI-Konsole zu der Domain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie auf Sicherheit und dann auf Identitätsprovider.
  4. Klicken Sie auf IdP hinzufügen und dann auf SAML-IdP hinzufügen.
  5. Geben Sie einen Namen für die SAML IdP ein. Beispiel: ADFS_IdP. Klicken Sie auf Weiter.
  6. Klicken Sie auf Geben Sie IdP-Metadaten ein.
  7. Laden Sie die OCI IAM Service Provider-(SP-)Metadaten herunter, indem Sie auf SAML-Metadaten exportieren klicken.
    1. Klicken Sie auf der Seite "SAML-Metadaten exportieren" unter Metadaten mit selbstsignierten Zertifikaten auf XML herunterladen.
      Hinweis

      Verwenden Sie Metadaten mit selbstsignierten Zertifikaten, wenn der Identitätsprovider CRL- oder OCSP-Prüfungen für Zertifikate ausführt, die von einer CA ausgestellt wurden. In diesem Tutorial führt ADFS dies während der Validierung des Zertifikatspfads aus.
    2. Speichern Sie die Datei im entsprechenden Verzeichnis.
    3. Übertragen Sie die Datei Metadata.xml auf den Windows-Server, auf dem ADFS verwaltet wird. Mit dieser Datei registrieren Sie die OCI-IAM-Domain bei ADFS.

    SAML-Metadaten für OCI IAM exportieren

  8. Schließen Sie die Seite "SAML-Metadaten exportieren".
  9. Klicken Sie auf Metadaten aus IdP importieren und dann auf Hochladen. Wählen Sie die Datei FederationMetadata.xml, die Sie zuvor in ADFS gespeichert haben, klicken Sie auf Öffnen, und klicken Sie dann auf Weiter.
  10. Legen Sie unter "Benutzeridentität zuordnen" Folgendes fest:
    • Wählen Sie unter Format für angeforderte NameID die Option Email address aus.
    • Wählen Sie unter Identitätsproviderbenutzerattribut die Option SAML assertion Name ID aus.
    • Wählen Sie unter Identitätsdomainbenutzerattribut die Option Primary email address aus.

    SAML-Identitätsproviderattribute

  11. Klicken Sie Weiter.
  12. Prüfen Sie unter "Prüfen und erstellen" die Konfigurationen, und klicken Sie auf Erstellen IdP.
  13. Klicken Sie auf Aktivieren.
  14. Klicken Sie auf Zu IdP-Policy-Regel hinzufügen. Wenn Sie ADFS IdP einer IdP-Policy hinzufügen, kann diese auf dem OCI IAM-Anmeldebildschirm angezeigt werden.

  15. Klicken Sie auf Standard-Identitätsprovider-Policy, um sie zu öffnen. Klicken Sie dann für die Regel auf das Menü "Aktionen" (Aktionsmenü), und klicken Sie auf IdP-Regel bearbeiten.

    Das Kontextmenü mit "IdP-Regel bearbeiten"

  16. Klicken Sie auf Identitätsprovider zuweisen und dann auf ADFS_IdP, um sie der Liste hinzuzufügen.

    ADFS als Identitätsprovider in der Standardregel IdP hinzufügen

  17. Klicken Sie auf Änderungen speichern.

Jetzt ist ADFS als Identitätsprovider in OCI IAM registriert.

Als Nächstes registrieren Sie OCI IAM als vertrauenswürdige vertrauende Partei in ADFS.

2. OCI IAM als vertrauenswürdige Relying Party registrieren

Registrieren Sie zunächst OCI IAM als verlassende Partei bei ADFS. Konfigurieren Sie dann Anspruchsregeln für OCI IAM als Relying Party.

Relying Party registrieren

  1. Öffnen Sie das ADFS-Management-Utility. Beispiel: Klicken Sie im Windows 2016 Server Manager-Utility auf Extras und dann auf Microsoft Active Directory Federation Services Management.
  2. Klicken Sie auf Aktion und dann auf Relying Party Trust hinzufügen.

  3. Klicken Sie im Fenster "Add Relying Party Trust Wizard" auf Start.

    Assistent für vertrauenswürdige Parteien in ADFS hinzufügen

  4. Wählen Sie "Daten über die Relying Party aus einer Datei importieren" aus, und klicken Sie auf Durchsuchen.

    Datenquelle auswählen

  5. Wählen Sie Metadata.xml aus, den Sie zuvor aus OCI IAM heruntergeladen haben, und klicken Sie auf Weiter.

  6. Geben Sie einen Anzeigenamen ein, z.B. OCI IAM, und geben Sie optional eine Beschreibung unter Notizen ein. Klicken Sie Weiter.

    Anzeigenamen festlegen

  7. Fahren Sie mit den Standardoptionen fort, bis Sie den Schritt "Fertigstellen" erreichen, und klicken Sie dann auf Schließen. Das Fenster "Anspruchsregeln bearbeiten" wird geöffnet.

    Anspruchsfenster bearbeiten

Anspruchsregeln konfigurieren

Anspruchsregeln definieren die Informationen zu einem angemeldeten Benutzer, der nach erfolgreicher Authentifizierung von ADFS an OCI IAM gesendet wird. Hier definieren Sie zwei Anspruchsregeln für OCI IAM, die als verlassende Partei fungieren:

  • E-Mail: Diese Regel gibt an, dass die E-Mail-Adresse des Benutzers in der SAML-Assertion an OCI IAM gesendet wird.
  • Name-ID: Diese Regel gibt an, dass das Ergebnis der E-Mail-Regel im Subject-Element NameID der SAML-Assertion an OCI IAM gesendet wird.
  1. Klicken Sie im Fenster "Bearbeiten" auf Regel hinzufügen.
  2. Wählen Sie Eingehenden Anspruch transformieren als Anspruchsregelvorlage aus, und klicken Sie auf Weiter
  3. Geben Sie auf der Seite "Regeltyp wählen" die folgenden Informationen für die E-Mail-Regel an:
    • Name der Anspruchsregel: Email
    • Attributspeicher: Active Directory
    • Zuordnen von LDAP-Attributen zu ausgehenden Anspruchstypen:
      • LDAP-Attribut: E-Mail-Addresses
      • Ausgehender Anspruchstyp: E-Mail Address

      Wählen Sie im Assistenten zum Hinzufügen von Transformationsanspruchsregeln die Seite "Regeltyp".

  4. Klicken Sie auf Beenden.
  5. Klicken Sie im Fenster "Bearbeiten" auf Regel hinzufügen, um die zweite Anspruchsregel hinzuzufügen.
  6. Wählen Sie LDAP-Attribute als Ansprüche senden als Anspruchsregelvorlage aus, und klicken Sie auf Weiter.
  7. Geben Sie auf der Seite "Regeltyp auswählen" die folgenden Informationen für die Namens-ID-Regel an:
    • Claim rule name: Name ID
    • Eingehender Anspruchstyp: E-Mail Address
    • Outgoing claim type: Name ID
    • ID-Format für ausgehenden Namen: Email

    Wählen Sie im Assistenten zum Hinzufügen von Transformationsanspruchsregeln die Seite "Regeltyp".

  8. Klicken Sie auf Beenden.
  9. Prüfen Sie im Fenster "Anspruchsregeln für Oracle Cloud bearbeiten", ob die E-Mail- und Namens-ID-Regeln erstellt wurden.

    Bestätigen, dass beide Ansprüche vorhanden sind

Jetzt verfügen ADFS und OCI IAM über genügend Informationen, um SSO einzurichten, und Sie können die Integration testen.

3. SSO zwischen ADFS und OCI testen

In dieser Aufgabe testen Sie die Authentifizierung zwischen OCI IAM und ADFS. Wenn die Authentifizierung erfolgreich war, aktivieren Sie den Identitätsprovider für Endbenutzer.

  1. Starten Sie den Browser neu, und geben Sie die Konsolen-URL für den Zugriff auf die OCI-IAM-Konsole ein:

    https://cloud.oracle.com

  2. Geben Sie den Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
  3. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
  4. Wählen Sie die Domain, für die Sie ADFS IdP konfiguriert haben.
  5. Klicken Sie auf Sicherheit und dann auf ID-Provider.
  6. Klicken Sie auf den Eintrag IdP von ADFS.
  7. Klicken Sie auf der Detailseite für die IdP auf Weitere Aktionen und dann auf Anmeldung testen.
  8. Scrollen Sie nach unten, und klicken Sie auf Test Login.
  9. Melden Sie sich auf der ADFS-Anmeldeseite mit einem Benutzer an, der in ADFS und OCI IAM vorhanden ist.

    ADFS-Anmeldeseite

  10. Die Bestätigungsmeldung Ihre Verbindung ist erfolgreich wird angezeigt.

    Bestätigungsmeldung

Weitere Schritte

Herzlichen Glückwunsch. Sie haben SSO zwischen ADFS und OCI IAM erfolgreich eingerichtet.

Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: