JIT-Provisioning von Entra-ID zu OCI IAM
In diesem Tutorial konfigurieren Sie das Just-In-Time-(JIT-)Provisioning zwischen der OCI-Konsole und der Entra-ID, wobei Sie Entra-ID als IdP verwenden.
Sie können das JIT-Provisioning so einrichten, dass während der Laufzeit Identitäten im Zielsystem erstellt werden können, wie und wann sie eine Anforderung für den Zugriff auf das Zielsystem stellen.
In diesem Tutorial werden die folgenden Schritte behandelt:
- Konfigurieren Sie die Entra-ID IdP in OCI IAM für JIT.
- Aktualisieren Sie die OCI IAM-Anwendungskonfiguration in der Entra-ID.
- Testen Sie, ob Sie die Entra-ID für OCI IAM bereitstellen können.
Dieses Tutorial ist spezifisch für IAM mit Identitätsdomains.
Um dieses Tutorial ausführen zu können, benötigen Sie Folgendes:
-
Einen kostenpflichtigenOracle Cloud Infrastructure-(OCI-)Account oder einen OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.
- Administratorrolle der Identitätsdomain für die OCI IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
- Ein Entra-ID-Konto mit einer der folgenden Entra-ID-Rollen:
- Globaler Administrator
- Cloudanwendungsadministrator
- Anwendungsadministrator
Außerdem müssen Sie das Tutorial SSO zwischen OCI und Microsoft Entra-ID abgeschlossen und die Objekt-ID der Gruppen erfasst haben, die Sie für das JIT-Provisioning verwenden möchten.
Damit das JIT-Provisioning funktioniert, müssen geeignete und erforderliche SAML-Attribute konfiguriert werden, die in der SAML-Assertion von der Entra-ID an OCI IAM gesendet werden.
- Melden Sie sich im Browser über die folgende URL bei der Microsoft Entra-ID an:
https://entra.microsoft.com
- Navigieren Sie zu Unternehmensanwendungen.
- Klicken Sie auf die Oracle Cloud Infrastructure Console-Anwendung.Hinweis
Dies ist die App, die Sie im Rahmen von SSO zwischen OCI und Microsoft Entra-ID erstellt haben. - Klicken Sie im linken Menü auf Single sign-on.
- Klicken Sie im Abschnitt "Attribute and Claims" auf Edit.
- Stellen Sie sicher, dass die Attribute richtig konfiguriert sind:
NameID
Email Address
First Name
Last Name
Wenn Sie neue Ansprüche benötigen, fügen Sie diese hinzu.
- Notieren Sie sich alle konfigurierten Anspruchsnamen. Beispiel
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
ist der Claimname für
First Name
. - Navigieren Sie zu Gruppen. Alle verfügbaren Gruppen werden in Entra ID angezeigt.
- Notieren Sie sich die Objekt-IDs der Gruppen, die Teil von SAML werden sollen, die an OCI IAM gesendet werden sollen.
Zusätzliche Entra-ID-Konfigurationen
In Entra-ID können Sie Gruppen basierend auf dem Gruppennamen oder dem Attribut sAMAccountName
filtern.
Beispiel: Es muss nur die Gruppe Administrators
mit SAML gesendet werden:
- Klicken Sie auf den Gruppenanspruch.
- Blenden Sie unter "Gruppenansprüche" die Option Erweiterte Optionen ein.
- Wählen Sie Filtergruppen aus.
- Wählen Sie unter Zu übereinstimmendes Attribut die Option
Display Name
aus. - Wählen Sie unter Abgleichen mit die Option
contains
aus. - Geben Sie unter Zeichenfolge den Namen der Gruppe an. Beispiel:
Administrators
.
- Wählen Sie unter Zu übereinstimmendes Attribut die Option
Damit können Organisationen nur die erforderlichen Gruppen über die Entra-ID an OCI IAM senden.
Aktualisieren Sie in OCI IAM die Entra-ID IdP für JIT.
-
Öffnen Sie einen unterstützten Browser , und geben Sie die Konsolen-URL ein.
- Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
- Wählen Sie die Identitätsdomain aus, die zum Konfigurieren von SSO verwendet wird.
- Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
- Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit.
- Klicken Sie unter Identität auf Domains.
- Wählen Sie die Identitätsdomain aus, in der Sie die Entra-ID bereits als IdP konfiguriert haben.
- Klicken Sie links im Menü auf Sicherheit, Identitätsprovider.
- Klicken Sie auf die Entra-ID IdP.Hinweis
Dies ist die Entra-ID IdP, die Sie als Teil der SSO zwischen OCI und der Microsoft Entra-ID erstellt haben. - Klicken Sie auf der Seite Entra-ID IdP auf JIT konfigurieren.
- Gehen Sie auf der Seite {\b Configure Just-In-Time (JIT) Provisioning} wie folgt vor:
- Wählen Sie JIT-Provisioning aus.
- Wählen Sie Neuen Identitätsdomainbenutzer erstellen aus.
- Wählen Sie Benutzer der vorhandenen Identitätsdomain aktualisieren aus.
- Unter "Benutzerattribute zuordnen":
- Lassen Sie die erste Zeile für
NameID
unverändert. - Wählen Sie für andere Attribute unter IdP-Benutzerattribut die Option
Attribute
aus. - Geben Sie den IdP-Benutzerattributnamen wie folgt an:
- familyName:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname
- primaryEmailAddress:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- familyName:
- Klicken Sie auf Zeile hinzufügen, und geben Sie
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname
ein.Wählen Sie für das Benutzerattribut der Identitätsdomain
First name
aus.Hinweis
Der vollqualifizierte Anzeigename (FQDN) stammt aus 1. Konfigurieren Sie SAML-Attribute, die von Entra-ID gesendet werden.
Dieses Diagramm zeigt, wie die Benutzerattribute in OCI IAM (rechts) aussehen sollen, und die Zuordnung von Benutzerattributen zwischen Entra-ID und OCI IAM.
- Lassen Sie die erste Zeile für
- Wählen Sie Gruppenzuordnung zuweisen aus.
- Geben Sie den Namen des Gruppenmitgliedschaftsattributs ein:
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
. - Wählen Sie Explizite Gruppenmitgliedschaftszuordnungen definieren aus.
- Geben Sie unter IdP-Gruppenname die Objekt-ID der Gruppe in Entra-ID aus dem vorherigen Schritt an.
- Wählen Sie unter Identitätsdomaingruppenname die Gruppe in OCI IAM aus, der die Entra-ID-Gruppe zugeordnet werden soll.
Dieses Diagramm zeigt, wie die Gruppenattribute in OCI IAM (rechts) aussehen sollen, und die Zuordnung von Gruppenattributen zwischen Entra-ID und OCI IAM.
- Wählen Sie unter Zuweisungsregeln Folgendes aus:
- Bei der Zuweisung von Gruppenmitgliedschaften: Mit vorhandenen Gruppenmitgliedschaften zusammenführen
- Wenn eine Gruppe nicht gefunden wird: Fehlende Gruppe ignorieren
Hinweis
Wählen Sie Optionen basierend auf den Anforderungen Ihrer Organisation aus. - Klicken Sie auf Änderungen speichern.
- Erstellen Sie in der Entra-ID-Konsole einen neuen Benutzer mit einer E-Mail-ID, die nicht in OCI IAM vorhanden ist.
-
Weisen Sie den Benutzer den erforderlichen Gruppen zu.
- Öffnen Sie die OCI-Konsole im Browser.
- Wählen Sie die Identitätsdomain aus, in der die JIT-Konfiguration aktiviert wurde.
- Klicken Sie Weiter.
- Klicken Sie in den Anmeldeoptionen auf ID entrahieren.
- Geben Sie auf der Microsoft-Anmeldeseite die neu erstellte Benutzer-ID ein.
- Bei erfolgreicher Authentifizierung von Microsoft:
- Der Benutzeraccount wird in OCI IAM erstellt.
- Der Benutzer ist bei der OCI-Konsole angemeldet.
- Wählen Sie das Menü Profil (
), das sich oben rechts in der Navigationsleiste oben auf der Seite befindet, und klicken Sie dann auf Mein Profil. Prüfen Sie die Benutzereigenschaften wie E-Mail-ID, Vorname, Nachname und zugehörige Gruppen.
Herzlichen Glückwunsch. Sie haben das JIT-Provisioning zwischen Entra-ID und OCI IAM erfolgreich eingerichtet.
Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: