Oracle Cloud Infrastructure - Dokumentation

JIT-Provisioning von Entra-ID zu OCI IAM

In diesem Tutorial konfigurieren Sie das Just-In-Time-(JIT-)Provisioning zwischen der OCI-Konsole und der Entra-ID mit der Entra-ID als IdP.

Sie können das JIT-Provisioning so einrichten, dass Identitäten während der Laufzeit im Zielsystem erstellt werden können, sobald sie eine Anforderung für den Zugriff auf das Zielsystem stellen.

In diesem Tutorial werden die folgenden Schritte behandelt:

  1. Konfigurieren Sie die Entra-ID IdP in OCI IAM für JIT.
  2. Aktualisieren Sie die OCI IAM-Anwendungskonfiguration in Entra-ID.
  3. Testen Sie, ob Sie ein Provisioning von Entra ID in OCI IAM durchführen können.
Hinweis

Dieses Tutorial ist spezifisch für IAM mit Identitätsdomains.
Bevor Sie beginnen

Um dieses Tutorial ausführen zu können, benötigen Sie Folgendes:

  • Ein kostenpflichtiger Oracle Cloud Infrastructure-(OCI-)Account oder ein OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.

  • Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
  • Ein Entra ID-Konto mit einer der folgenden Entra ID-Rollen:
    • Globaler Administrator
    • Cloudanwendungsadministrator
    • Anwendungsadministrator

Außerdem müssen Sie das Tutorial SSO zwischen OCI und Microsoft Entra ID abgeschlossen und die Objekt-ID der Gruppen erfasst haben, die Sie für das JIT-Provisioning verwenden werden.

1. Von Entra-ID gesendete SAML-Attribute konfigurieren

Damit das JIT-Provisioning funktioniert, müssen geeignete und erforderliche SAML-Attribute konfiguriert werden, die in SAML-Assertion per Entra-ID an OCI IAM gesendet werden.

  1. Melden Sie sich im Browser mit der folgenden URL bei Microsoft Entra ID an:
    https://entra.microsoft.com
  2. Navigieren Sie zu Enterprise Applications.
  3. Wählen Sie die Oracle Cloud Infrastructure-Konsolenanwendung aus.
    Hinweis

    Dies ist die App, die Sie im Rahmen von SSO zwischen OCI und Microsoft Entra ID erstellt haben.
  4. Wählen Sie im linken Menü die Option Single Sign-On.
  5. Wählen Sie im Abschnitt "Attribute und Ansprüche" die Option Bearbeiten aus.
  6. Prüfen Sie, ob die Attribute ordnungsgemäß konfiguriert sind:
    • NameID
    • Email Address
    • First Name
    • Last Name

    Wenn Sie neue Ansprüche benötigen, fügen Sie diese hinzu.

  7. Notieren Sie sich alle konfigurierten Anspruchsnamen. Beispiel

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

    ist der Anspruchsname für First Name.

    Attribute und Ansprüche

  8. Navigieren Sie zu Gruppen. Alle Gruppen, die in Entra ID verfügbar sind, werden angezeigt.
  9. Notieren Sie sich die Objekt-IDs der Gruppen, die Teil von SAML sein möchten, um sie an OCI IAM zu senden.

    Gruppendetails in Entra-ID

Zusätzliche Entra-ID-Konfigurationen

In Entra ID können Sie Gruppen basierend auf dem Gruppennamen oder dem Attribut sAMAccountName filtern.

Beispiel: Angenommen, nur die Gruppe Administrators muss über SAML gesendet werden:

  1. Wählen Sie den Gruppenanspruch aus.
  2. Blenden Sie unter "Gruppenansprüche" die Option Erweiterte Optionen ein.
  3. Wählen Sie Filtergruppen aus.
    • Wählen Sie unter Zuzuordnendes Attribut die Option Display Name aus.
    • Wählen Sie unter Übereinstimmung mit die Option contains aus.
    • Geben Sie unter Zeichenfolge den Namen der Gruppe an. Beispiel: Administrators.

    Filter für Gruppen

Wenn Sie diese Option verwenden, sendet Entra ID nur die Administratorengruppe in SAML, selbst wenn der Benutzer in der Administratorgruppe zu anderen Gruppen gehört.
Hinweis

Dadurch können Organisationen nur die erforderlichen Gruppen aus Entra-ID an OCI IAM senden.
2. JIT-Attribute in OCI IAM konfigurieren

Aktualisieren Sie in OCI IAM die Entra-ID IdP für JIT.

  1. Öffnen Sie einen unterstützten Browser, und geben Sie die Konsolen-URL an:

    https://cloud.oracle.com

  2. Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, und wählen Sie Weiter aus.
  3. Wählen Sie die Identitätsdomain aus, die zur Konfiguration von SSO verwendet wird.
  4. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
  5. Öffnen sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus.
  6. Wählen Sie unter Identität die Option Domains aus.
  7. Wählen Sie die Identitätsdomain aus, in der Sie die Entra-ID bereits als IdP konfiguriert haben.
  8. Wählen Sie im Menü links die Option Sicherheit, Identitätsprovider aus.
  9. Wählen Sie die Entra-ID IdP.
    Hinweis

    Dies ist die Entra-ID IdP, die Sie im Rahmen von SSO zwischen OCI und Microsoft Entra ID erstellt haben.
  10. Wählen Sie auf der Seite "Entra ID IdP" die Option "JIT konfigurieren".

    Konfigurationsseite für den Entra-ID-Identitätsprovider in IAM

  11. Auf der Seite "JIT-(Just-in-Time-(JIT-)Provisioning konfigurieren":
    • Wählen Sie Just-In-Time-(JIT-)Provisioning aus.
    • Wählen Sie Neuen Identitätsdomainbenutzer erstellen aus.
    • Wählen Sie Vorhandenen Identitätsdomainbenutzer aktualisieren aus.

    just-in-time-Provisioning aktivieren

  12. Unter "Benutzerattribute zuordnen":
    1. Lassen Sie die erste Zeile für NameID unverändert.
    2. Wählen Sie für andere Attribute unter IdP user attribute die Option Attribute aus.
    3. Geben Sie den Benutzerattributnamen IdP wie folgt an:
      • familyName: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
      • primaryEmailAddress: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    4. Wählen Sie Zeile hinzufügen, und geben Sie Folgendes ein: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname.

      Wählen Sie für das Benutzerattribut der Identitätsdomain First name aus.

      Hinweis

      Der vollqualifizierte Anzeigename (FQDN) stammt aus 1. Konfigurieren Sie SAML-Attribute, die von Entra ID gesendet werden.

    Dieses Diagramm zeigt, wie die Benutzerattribute in OCI IAM (rechts) aussehen sollen und wie Benutzerattribute zwischen Entra ID und OCI IAM zugeordnet werden.

    Zuordnung von Benutzerattributen zwischen Entra-ID und OCI IAM

  13. Wählen Sie Gruppenzuordnung zuweisen aus.
  14. Geben Sie den Attributnamen für die Gruppenmitgliedschaft ein: http://schemas.microsoft.com/ws/2008/06/identity/claims/groups.
  15. Wählen Sie Explizite Zuordnungen für Gruppenmitgliedschaften definieren aus.
  16. Geben Sie unter IdP Gruppenname die Objekt-ID der Gruppe in Entra-ID aus dem vorherigen Schritt an.
  17. Wählen Sie unter Identitätsdomaingruppenname die Gruppe in OCI IAM aus, der die Entra-ID-Gruppe zugeordnet werden soll.

    Gruppenzuordnungen zuweisen

    Dieses Diagramm zeigt, wie die Gruppenattribute in OCI IAM (rechts) aussehen sollen und wie die Gruppenattribute zwischen Entra ID und OCI IAM zugeordnet werden.

    Zuordnung von Gruppenattributen zwischen Entra-ID und OCI IAM

  18. Wählen Sie unter Zuweisungsregeln Folgendes aus:
    1. Beim Zuweisen von Gruppenmitgliedschaften: Zusammenführen mit vorhandenen Gruppenmitgliedschaften
    2. Wenn eine Gruppe nicht gefunden wird: Ignorieren Sie die fehlende Gruppe

    Zuweisungsregeln festlegen

    Hinweis

    Wählen Sie Optionen basierend auf den Anforderungen Ihrer Organisation aus.
  19. Wählen Sie Änderungen speichern aus.
3. JIT-Provisioning zwischen Entra-ID und OCI testen
In diesem Abschnitt können Sie testen, ob das JIT-Provisioning zwischen Entra ID und OCI IAM funktioniert.
  1. Erstellen Sie in der Entra-ID-Konsole einen neuen Benutzer mit einer E-Mail-ID, die nicht in OCI IAM vorhanden ist.

  2. Weisen Sie den Benutzern die erforderlichen Gruppen zu.

    Benutzer zu Gruppen zuordnen

  3. Öffnen Sie im Browser die OCI-Konsole.
  4. Wählen Sie die Identitätsdomain aus, in der die JIT-Konfiguration aktiviert wurde.
  5. Wählen Sie Weiter.
  6. Wählen Sie in den Anmeldeoptionen die Option ID einbeziehen aus.
  7. Geben Sie auf der Microsoft-Anmeldeseite die neu erstellte Benutzer-ID ein.

    Microsoft-Anmeldeseite

  8. Bei erfolgreicher Authentifizierung von Microsoft:
    • Der Benutzeraccount wird in OCI IAM erstellt.
    • Der Benutzer ist bei der OCI-Konsole angemeldet.

    Mein Profil in OCI IAM für Benutzer

  9. Wählen Sie im Navigationsmenü das Menü Profil Symbol für Profilmenü aus, und wählen Sie Benutzereinstellungen aus. Prüfen Sie die Benutzereigenschaften wie E-Mail-ID, Vorname, Nachname und verknüpfte Gruppen.

    Benutzereigenschaften in OCI IAM prüfen

Weitere Schritte

Herzlichen Glückwunsch. Sie haben das JIT-Provisioning zwischen Entra-ID und OCI IAM erfolgreich eingerichtet.

Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: