Oracle Cloud Infrastructure - Dokumentation

SSO zwischen OCI und ADFS

In diesem Tutorial konfigurieren Sie SSO zwischen OCI IAM und ADFS mit ADFS als Identitätsprovider (IdP).

In diesem 30-minütigen Tutorial erfahren Sie, wie Sie OCI IAM, das als Serviceprovider (SP) fungiert, mit ADFS als IdP integrieren können. Durch das Einrichten der Föderation zwischen ADFS und OCI IAM aktivieren Sie den Zugriff von Benutzern auf Services und Anwendungen in OCI mit Benutzerzugangsdaten, die ADFS authentifiziert.

In diesem Tutorial wird die Einrichtung von ADFS als IdP für OCI IAM erläutert.

OCI IAM bietet Integration mit SAML 2.0 IdPs. Diese Integration:

  • Funktioniert mit föderierten Single Sign-On-(SSO-)Lösungen, die mit SAML 2.0 als IdP kompatibel sind, wie ADFS.
  • Ermöglicht es Benutzern, sich mit ihren ADFS-Zugangsdaten bei OCI anzumelden.
  • Benutzer können sich bei Endanwendungen anmelden.
  1. Laden Sie zunächst die Metadaten aus der OCI IAM-Identitätsdomain herunter.
  2. In den nächsten Schritten erstellen und konfigurieren Sie eine Relying Party in ADFS.
  3. Richten Sie in ADFS SSO mit OCI IAM mit den Metadaten ein.
  4. Bearbeiten Sie in ADFS die Attribute und Claims so, dass der E-Mail-Name als ID für Benutzer verwendet wird.
  5. Fügen Sie in ADFS der App einen Benutzer hinzu.
  6. Kehren Sie für die nächsten Schritte zu der Identitätsdomain zurück, um das Setup und die Konfiguration abzuschließen. Aktualisieren Sie in OCI IAM die Standard-Policy IdP, um ADFS hinzuzufügen.
  7. Testen Sie, ob die kombinierte Authentifizierung zwischen OCI IAM und ADFS funktioniert.
Hinweis

Dieses Tutorial ist spezifisch für IAM mit Identitätsdomains.
Bevor Sie beginnen

Um dieses Tutorial ausführen zu können, benötigen Sie Folgendes:

  • Ein kostenpflichtiger Oracle Cloud Infrastructure-(OCI-)Account oder ein OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.
  • Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
  • Eine On-Premise-ADFS-Installation.
    Hinweis

    In diesem Tutorial wird die Verwendung der ADFS-Software beschrieben, die mit Microsoft Windows Server 2016 R2 bereitgestellt wird.
  • Außerdem müssen Sie prüfen, ob derselbe Benutzer in OCI und ADFS vorhanden ist und ob ADFS funktioniert.
Gleichen Benutzer auf beiden Systemen erstellen

Stellen Sie sicher, dass in beiden Systemen ein Benutzer mit derselben E-Mail-Adresse vorhanden ist.

Damit SAML SSO zwischen ADFS und OCI IAM funktioniert, muss ein Benutzer mit derselben E-Mail-Adresse sowohl in der Microsoft Active Directory-Domain als auch in der OCI IAM-Identitätsdomain vorhanden sein. In dieser Aufgabe bestätigen Sie, dass ein solcher Benutzer auf beiden Systemen vorhanden ist.

  1. Öffnen Sie das Microsoft Active Directory Users and Computers-Dienstprogramm. Wählen Sie unter Windows 2016 Server die Optionen Servermanager, Extras, Active Directory-Benutzer und -Computer aus.
  2. Doppelklicken Sie im Ordner Mitarbeiter auf den Benutzer, den Sie verwenden möchten. Notieren Sie sich die E-Mail-Adresse des Benutzers.
    ADFS USER(adfsuser01@gmail.com)

    Benutzer in Active Directory-Dienstprogramm "Benutzer und Computer"

    Hinweis

    Wenn mehrere Benutzer in der OCI-IAM-Domain dieselbe E-Mail-Adresse haben, verläuft SAML-SSO nicht erfolgreich, da nicht bestimmt werden kann, welcher Benutzer angemeldet werden soll.

    • Die E-Mail-Adresse des Benutzers wird verwendet, um den bei ADFS angemeldeten Benutzer mit demselben Benutzereintrag in OCI IAM zu verknüpfen.
    • Wenn Sie keinen ADFS-Benutzer zum Testen der Verbindung haben, können Sie einen erstellen.
  3. Geben Sie in einem Browser die Konsolen-URL für den Zugriff auf die OCI-IAM-Konsole ein:

    https://cloud.oracle.com

  4. Geben Sie Ihren Cloud-Accountnamen (auch als Mandantenname bezeichnet) ein, und wählen Sie Weiter aus.
  5. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
  6. Wählen Sie die Domain aus, die Sie verwenden möchten.
  7. Wählen Sie Benutzer.
  8. Geben Sie im Suchfeld die E-Mail-Adresse ein, die Sie aus Microsoft Active Directory erfasst haben.
  9. Prüfen Sie in den Suchergebnissen, ob ein Benutzer mit derselben E-Mail-Adresse wie der Benutzer im Microsoft Active Directory vorhanden ist.
    Hinweis

    Wenn der Benutzer nicht in OCI IAM vorhanden ist, wählen Sie Hinzufügen aus, und erstellen Sie den Benutzer mit derselben E-Mail-Adresse wie in Microsoft Active Directory.
Prüfen, ob ADFS ausgeführt wird

Prüfen Sie, ob ADFS ausgeführt wird und ob Sie den Benutzer erfolgreich zur Anmeldung herausfordern können.

  1. Melden Sie sich im Browser über den folgenden URL bei ADFS an: 
    https://adfs.example.com/adfs/ls/IdpInitiatedSignOnPage
    Dabei ist adfs.example.com Ihr ADFS-Hostname.
  2. Wählen Sie bei Bedarf Bei dieser Site anmelden aus. Wählen Sie Anmelden.
  3. Geben Sie die Microsoft Active Directory-Zugangsdaten für einen Benutzer ein, der sowohl in ADFS als auch in OCI IAM vorhanden ist (in diesem Beispiel adfsuser01), und wählen Sie Anmelden aus.

    ADFS-Anmeldeseite

  4. Die Meldung You are signed in wird angezeigt.

    ADFS-Bestätigung, dass Sie angemeldet sind

1. ADFS als IdP in OCI IAM erstellen
  1. Melden Sie sich im Browser über den folgenden URL bei ADFS an: 
    https://adfs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
    Dabei ist adfs.example.com Ihr ADFS-Hostname.
  2. Speichern Sie die Datei FederationMetadata.xml. Mit dieser Datei registrieren Sie ADFS bei OCI IAM.
  3. Navigieren Sie in der OCI-Konsole zu der Domain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Wählen Sie Sicherheit und dann Identitätsprovider aus.
  4. Wählen Sie IdP hinzufügen und dann SAML IdP hinzufügen aus.
  5. Geben Sie einen Namen für den SAML-IdP ein. Beispiel: ADFS_IdP. Wählen Sie Weiter aus.
  6. Wählen Sie IdP-Metadaten eingeben aus.
  7. Laden Sie die OCI IAM Service Provider-(SP-)Metadaten herunter, indem Sie SAML-Metadaten exportieren auswählen.
    1. Wählen Sie auf der Seite "SAML-Metadaten exportieren" unter Metadaten mit selbstsignierten Zertifikaten die Option XML herunterladen aus.
      Hinweis

      Verwenden Sie Metadaten mit selbstsignierten Zertifikaten, wenn der Identitätsprovider CRL- oder OCSP-Prüfungen für Zertifikate ausführt, die von einer CA ausgestellt wurden. In diesem Tutorial führt ADFS dies während der Validierung des Zertifikatspfads aus.
    2. Speichern Sie die Datei im entsprechenden Verzeichnis.
    3. Übertragen Sie die Datei Metadata.xml auf den Windows-Server, auf dem ADFS verwaltet wird. Mit dieser Datei registrieren Sie die OCI-IAM-Domain bei ADFS.

    SAML-Metadaten für OCI IAM exportieren

  8. Schließen Sie die Seite "SAML-Metadaten exportieren".
  9. Wählen Sie IdP-Metadaten importieren, Hochladen aus. Wählen Sie die Datei FederationMetadata.xml, die Sie zuvor in ADFS gespeichert haben, Öffnen und dann Weiter aus.
  10. Legen Sie unter "Benutzeridentität zuordnen" Folgendes fest:
    • Wählen Sie unter Format für angeforderte NameID die Option Email address aus.
    • Wählen Sie unter Identitätsproviderbenutzerattribut die Option SAML assertion Name ID aus.
    • Wählen Sie unter Identitätsdomainbenutzerattribut die Option Primary email address aus.

    SAML-Identitätsproviderattribute

  11. Wählen Sie Weiter aus.
  12. Prüfen Sie unter "Prüfen und erstellen" die Konfigurationen, und wählen Sie IdP erstellen aus.
  13. Wählen Sie Aktivieren aus.
  14. Wählen Sie Zu IdP-Policy-Regel hinzufügen aus. Wenn Sie ADFS IdP zu einer IdP Policy hinzufügen, kann es auf dem OCI IAM-Anmeldebildschirm angezeigt werden.

  15. Wählen Sie Standardidentitätsprovider-Policy aus, um sie zu öffnen, und wählen Sie das Menü Aktionen (drei Punkte) für die Regel aus, und wählen Sie IdP-Regel bearbeiten aus.

    Das Kontextmenü mit "IdP-Regel bearbeiten"

  16. Wählen Sie Identitätsprovider zuweisen aus, und wählen Sie ADFS_IdP aus, um sie der Liste hinzuzufügen.

    ADFS als Identitätsprovider in der Standardregel IdP hinzufügen

  17. Wählen Sie Änderungen speichern aus.

Jetzt ist ADFS als Identitätsprovider in OCI IAM registriert.

Als Nächstes registrieren Sie OCI IAM als vertrauenswürdige vertrauende Partei in ADFS.

2. OCI IAM als vertrauenswürdige Relying Party registrieren

Registrieren Sie zunächst OCI IAM als verlassende Partei bei ADFS. Konfigurieren Sie dann Anspruchsregeln für OCI IAM als Relying Party.

Relying Party registrieren

  1. Öffnen Sie das ADFS-Management-Utility. Beispiel: Wählen Sie unter Windows 2016 Server Manager die Option Extras und dann Microsoft Active Directory Federation Services Management aus.
  2. Wählen Sie Aktion, Relying Party Trust hinzufügen aus.

  3. Wählen Sie im Fenster "Add Relying Party Trust Wizard" die Option Start.

    Relying Party Trust Wizard in ADFS hinzufügen

  4. Wählen Sie Durchsuchen aus, und wählen Sie die Option "Daten über die zugrunde liegende Partei aus einer Datei importieren" aus.

    Datenquelle wählen

  5. Wählen Sie Metadata.xml aus, den Sie zuvor aus OCI IAM heruntergeladen haben, und wählen Sie Weiter aus.

  6. Geben Sie einen Anzeigenamen ein, z.B. OCI IAM, und geben Sie optional eine Beschreibung unter Notizen ein. Wählen Sie Weiter aus.

    Anzeigename festlegen

  7. Fahren Sie mit den Standardoptionen fort, bis Sie den Schritt "Fertigstellen" erreichen, und wählen Sie Schließen aus. Das Fenster "Anspruchsregeln bearbeiten" wird geöffnet.

    Anspruchsfenster bearbeiten

Anspruchsregeln konfigurieren

Anspruchsregeln definieren die Informationen zu einem angemeldeten Benutzer, der nach erfolgreicher Authentifizierung von ADFS an OCI IAM gesendet wird. Hier definieren Sie zwei Anspruchsregeln für OCI IAM, die als verlassende Partei fungieren:

  • E-Mail: Diese Regel gibt an, dass die E-Mail-Adresse des Benutzers in der SAML-Assertion an OCI IAM gesendet wird.
  • Name-ID: Diese Regel gibt an, dass das Ergebnis der E-Mail-Regel im Subject-Element NameID der SAML-Assertion an OCI IAM gesendet wird.
  1. Wählen Sie im Fenster "Regeln bearbeiten" die Option Regel hinzufügen.
  2. Wählen Sie LDAP-Attribute als Ansprüche senden als Anspruchsregelvorlage, und wählen Sie Weiter aus.
  3. Geben Sie auf der Seite "Regeltyp wählen" die folgenden Informationen für die E-Mail-Regel an:
    • Name der Anspruchsregel: Email
    • Attributspeicher: Active Directory
    • Zuordnen von LDAP-Attributen zu ausgehenden Anspruchstypen:
      • LDAP-Attribut: E-Mail-Addresses
      • Ausgehender Anspruchstyp: E-Mail Address

      Wählen Sie die Seite "Regeltyp" des Assistenten zum Hinzufügen von Transformationsanspruchsregeln.

  4. Wählen Sie Fertig.
  5. Wählen Sie im Fenster "Edit Claim Rules" die Option Add Rule, um die zweite Anspruchsregel hinzuzufügen.
  6. Wählen Sie Eingehenden Anspruch transformieren als Anspruchsregelvorlage aus, und wählen Sie Weiter aus.
  7. Geben Sie auf der Seite "Regeltyp auswählen" die folgenden Informationen für die Namens-ID-Regel an:
    • Claim rule name: Name ID
    • Eingehender Anspruchstyp: E-Mail Address
    • Outgoing claim type: Name ID
    • ID-Format für ausgehenden Namen: Email

    Wählen Sie die Seite "Regeltyp" des Assistenten zum Hinzufügen von Transformationsanspruchsregeln.

  8. Wählen Sie Fertig.
  9. Prüfen Sie im Fenster "Anspruchsregeln für Oracle Cloud bearbeiten", ob die E-Mail- und Namens-ID-Regeln erstellt wurden.

    Bestätigen Sie, dass beide Ansprüche vorhanden sind

Jetzt verfügen ADFS und OCI IAM über genügend Informationen, um SSO einzurichten, und Sie können die Integration testen.

3. SSO zwischen ADFS und OCI testen

In dieser Aufgabe testen Sie die Authentifizierung zwischen OCI IAM und ADFS. Wenn die Authentifizierung erfolgreich war, aktivieren Sie den Identitätsprovider für Endbenutzer.

  1. Starten Sie den Browser neu, und geben Sie die Konsolen-URL für den Zugriff auf die OCI-IAM-Konsole ein:

    https://cloud.oracle.com

  2. Geben Sie den Cloud-Accountnamen (auch als Mandantenname bezeichnet) ein, und wählen Sie Weiter aus.
  3. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
  4. Wählen Sie die Domain, für die Sie ADFS IdP konfiguriert haben.
  5. Wählen Sie Sicherheit und dann Identitätsprovider aus.
  6. Wählen Sie den ADFS-Eintrag IdP.
  7. Wählen Sie auf der Detailseite für die IdP die Option Weitere Aktionen und dann Anmeldung testen aus.
  8. Scrollen Sie nach unten, und wählen Sie Anmeldung testen aus.
  9. Melden Sie sich auf der ADFS-Anmeldeseite mit einem Benutzer an, der in ADFS und OCI IAM vorhanden ist.

    ADFS-Anmeldeseite

  10. Die Bestätigungsmeldung Ihre Verbindung ist erfolgreich wird angezeigt.

    Bestätigungsmeldung

Weitere Schritte

Herzlichen Glückwunsch. Sie haben SSO zwischen ADFS und OCI IAM erfolgreich eingerichtet.

Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: