Oracle Cloud Infrastructure - Dokumentation

Tutorial 1: ID als autoritative Quelle für die Verwaltung von Identitäten mit der Entra ID Gallery-Anwendung einbeziehen

Konfigurieren Sie Entra ID als autoritativen Identitätsspeicher, um Identitäten in OCI IAM mit einer Anwendungsvorlage aus der Entra-ID-Galerie zu verwalten.

  1. Konfigurieren Sie OCI IAM so, dass Entra ID der Identitätsspeicher für die Verwaltung von Identitäten in OCI IAM ist. Erstellen Sie in OCI IAM eine vertrauliche Anwendung.
  2. Generieren Sie ein Secret-Token aus der Client-ID und des Client Secret der OCI IAM-Identitätsdomain. Verwenden Sie diese Adresse zusammen mit der Domain-URL in Entra-ID.
  3. erstellen Sie eine App in Entra-ID, und geben Sie mit dem Secret-Token und der Identitätsdomain-URL die OCI IAM-Identitätsdomain an, und prüfen Sie, ob die App funktioniert, indem sie Benutzer von Entra-ID an OCI IAM übertragen.
  4. Weisen Sie die Benutzer und Gruppen, die Sie OCI IAM durch Provisioning bereitstellen möchten, der Entra-ID-Anwendung zu.
  1. Darüber hinaus Anweisungen, wie
    • Legen Sie den föderierten Status der Benutzer so fest, dass sie vom externen Identitätsprovider authentifiziert werden.
    • Stoppen Sie, dass Benutzer Benachrichtigungs-E-Mails erhalten, wenn ihr Account erstellt oder aktualisiert wird.
1. Vertrauliche Anwendung erstellen

In diesem Abschnitt konfigurieren Sie die Entra-ID so, dass sie als Identitätsmanager fungiert, sodass Benutzeraccounts von der Entra-ID mit OCI IAM synchronisiert werden.

  1. Wählen Sie im Identitätsdomainbereich, in dem Sie arbeiten, Anwendungen aus.
  2. Wählen Sie Anwendung hinzufügen, wählen Sie Vertikale Anwendung aus, und wählen Sie Workflow starten aus.

    Vertrauliche Anwendung

  3. Geben Sie einen Namen für die Anwendung ein, z.B. Entra ID, und wählen Sie Weiter.
  4. Wählen Sie unter "Clientkonfiguration" Diese Anwendung jetzt als Client konfigurieren aus.

    Anwendung als Client konfigurieren

  5. Aktivieren Sie unter Autorisierung die Option Clientzugangsdaten.

    Anwendung für Clientzugangsdaten konfigurieren

  6. Wählen Sie unter Clienttyp die Option Vertraulich aus.
  7. Scrollen Sie nach unten, und legen Sie im Abschnitt "Tokenausgabe-Policy" die Option Autorisierte Ressourcen auf Spezifisch fest.

    Tokenausgabe-Policy

  8. Wählen Sie Anwendungsrollen hinzufügen aus.
  9. Wählen Sie im Abschnitt "Anwendungsrollen" die Option Rollen hinzufügen, und wählen Sie auf der Seite "Anwendungsrollen hinzufügen" die Option Benutzeradministrator und dann Hinzufügen aus.

    Anwendungsrollen hinzufügen

  10. Wählen Sie Weiter, Fertigstellen aus.
  11. Wählen Sie auf der Überblickseite der Anwendung die Option Aktivieren, und bestätigen Sie, dass die Anwendung aktiviert werden soll.

    Die vertrauliche Anwendung ist aktiviert.

2. Domain-URL suchen und Secret-Token generieren

Sie benötigen zwei Informationen, die als Teil der Verbindungseinstellungen für die Unternehmensanwendung verwendet werden können, die sie in Entra-ID erstellen:

  • Die Domain-URL.
  • Ein aus der Client-ID und dem Client Secret generiertes Secret-Token.
  1. Kehren sie zum Identitätsdomainüberblick Zurück, indem sie den Identitätsdomainnamen in den Navigationspfaden auswählen. Wählen Sie in den Domaininformationen neben der Domain-URL die Option Kopieren aus, und speichern sie in einer App, in welcher Sie sie bearbeiten können.

    Die Domaininformationen, die zeigen, wo sich die Domain-URL-Informationen befinden.

  2. Wählen Sie in der vertraulichen App in OCI IAM unter "Ressourcen" die Option OAuth-Konfiguration aus.
  3. Führen Sie einen Bildlauf nach unten durch, und suchen Sie unter "Allgemeine Informationen" die Client-ID und Client Secret.
  4. Kopieren und speichern Sie die Client-ID.
  5. Wählen Sie Secret anzeigen aus, kopieren Sie das Secret, und speichern Sie es.

    Client-ID und Client Secret

    Das Secret-Token ist die base64-Codierung von <clientID>:<clientsecret> oder
    base64(<clientID>:<clientsecret>)

    Diese Beispiele zeigen, wie das Secret-Token unter Windows, Linux oder MacOS generiert wird.

    Öffnen Sie in einer Windows-Umgebung CMD, und verwenden Sie diesen Powershell-Befehl, um base64-Codierung zu generieren[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))

    In Linux verwenden
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    Verwenden Sie unter MacOS
    echo -n <clientID>:<clientsecret> | base64
    Das Secret-Token wird zurückgegeben. Beispiel
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notieren Sie sich den Wert des Secret-Tokens.

3. OCI-Anwendung für Entra-ID erstellen

Konfigurieren Sie die Entra-ID, damit die Entra-ID der autoritative Identitätsspeicher zur Verwaltung von Identitäten in IAM ist.

  1. Melden Sie sich im Browser mit der folgenden URL bei Microsoft Entra ID an:
    
                            https://portal.azure.com
  2. Wählen Sie Identität und dann "Anwendungen" aus.
  3. Wählen Sie Unternehmensanwendungen aus.

    Unternehmensanwendung hinzufügen

  4. Wählen Sie auf der Seite "Unternehmensanwendungen" Neue Anwendung und dann Oracle aus.
  5. Wählen Sie Oracle Cloud Infrastructure-Konsole aus.

    Oracle Cloud Infrastructure-Konsole auswählen

  6. Geben Sie einen Namen ein, oder übernehmen Sie den Standardwert Oracle Cloud Infrastructure-Konsole.
  7. Wählen Sie Erstellen.

    OCI-IAM-Konsolenanwendung erstellen

  8. Wählen Sie im linken Menü unter "Verwalten" die Option "Provisioning wird ausgeführt".

    Provisioning-Seite für die Unternehmensanwendung in Entra ID

  9. Wählen Sie Erste Schritte, und wechseln Sie den Provisioning-Modus in Automatisch.
  10. In Tenant URL, enter the OCI IAM Domain URL from 2. Find the Domain URL and Generate a Secret Token followed by /admin/v1. Die Mandanten-URL lautet also 
    https://<domainURL>/admin/v1
  11. Geben Sie das Secret-Token ein, das Sie im Schritt 2. Suchen Sie die Domain-URL, und generieren Sie ein Secret Token generiert haben.

    Admin-Zugangsdaten eingeben

  12. Wählen Sie Verbindung testen aus. Wenn diese Meldung angezeigt wird, ist die Verbindung erfolgreich:
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. Wählen Sie im linken Menü unter "Verwalten" die Option "Provisioning wird ausgeführt", und wählen Sie Provisioning starten aus. Der Provisioning-Zyklus wird gestartet, und der Status des Provisionings wird angezeigt.
4. Benutzer und Gruppen der Entra-ID-Anwendung zuweisen

Weisen Sie der Entra-ID-Anwendung die Benutzer zu, die Sie OCI IAM bereitstellen möchten.

  1. Wählen Sie in Entra ID im linken Menü die Option Unternehmensanwendungen aus.
  2. Wählen Sie die zuvor erstellte Anwendung Oracle Cloud Infrastructure Console aus.
  3. Wählen Sie im linken Menü unter "Verwalten" die Option Benutzer und Gruppen aus.
  4. Wählen Sie auf der Seite "Benutzer und Gruppen" die Option Benutzer/Gruppe hinzufügen.
  5. Wählen Sie auf der Seite "Zuweisung hinzufügen" links unter "Benutzer und Gruppen" die Option Keine Auswahl aus.

    Die Seite "Benutzer und Gruppen " wird geöffnet.

  6. Wählen Sie einen oder mehrere Benutzer oder Gruppen aus der Liste aus. Die ausgewählten Benutzer werden unter "Ausgewählte Elemente" aufgeführt.

    Benutzer und Gruppen

  7. Wählen Sie Auswählen aus. Die Anzahl der ausgewählten Benutzer und Gruppen wird auf der Seite "Zuweisung hinzufügen" angezeigt.

    Die Anzahl der Benutzer und Gruppen, die Sie ausgewählt haben, wird auf der Seite "Zuweisung hinzufügen" angezeigt.

  8. Wählen Sie auf der Seite "Zuweisung hinzufügen" die Option Zuweisen aus.

    Auf der Seite Benutzer und Gruppen werden jetzt die von Ihnen ausgewählten Benutzer und Gruppen angezeigt.

    Die von Ihnen ausgewählten Benutzer und Gruppen werden in der Liste der Benutzer und Gruppen für die App angezeigt.

  9. Wählen Sie im linken Menü {\b Provisioning}, um die Gruppen und Benutzer durch Provisioning bereitzustellen. Das Provisioning-Log zeigt den Status an.

    Das Provisioning-Log mit dem Status "Erfolgreich".

  10. Wenn die Bereitstellung erfolgreich war, zeigt der aktuelle Zyklusstatus an, dass der inkrementelle Zyklus abgeschlossen ist und die Anzahl der für OCI IAM bereitgestellten Benutzer angezeigt wird.

    Der Status des Provisionings wird zusammen mit der Anzahl der für OCI IAM bereitgestellten Benutzer angezeigt

    In OCI IAM werden jetzt die Benutzer und Gruppen angezeigt, die über die Entra-ID bereitgestellt wurden.

    Die Entra-ID-Benutzer, die jetzt in IAM bereitgestellt werden
    Hinweis

    Wenn Sie Benutzer aus der Oracle Cloud Infrastructure-Konsolenanwendung unter "Entra-ID" entfernen, wird der Benutzer nur in OCI IAM deaktiviert.

    Die Entra-ID-Gruppen, die jetzt in IAM bereitgestellt werden

5. Zusätzliche Konfigurationen für föderierte Benutzer
  • Sie können den föderierten Status von Benutzern so festlegen, dass sie vom externen Identitätsprovider authentifiziert werden.
  • Sie können das Senden von Benachrichtigungs-E-Mails an den Benutzer deaktivieren, wenn sein Account erstellt oder aktualisiert wird.
a. Föderierten Status von Benutzern festlegen

Föderierte Benutzer haben keine Zugangsdaten, um sich direkt bei OCI anzumelden. Stattdessen werden sie vom externen Identitätsprovider authentifiziert. Wenn Benutzer ihre föderierten Accounts zur Anmeldung bei OCI verwenden sollen, setzen Sie das föderierte Attribut für diese Benutzer auf TRUE.

So legen Sie den föderierten Status des Benutzers fest:

  1. Melden Sie sich im Browser mit der folgenden URL bei Microsoft Entra ID an:
    
                                https://portal.azure.com
  2. Wählen Sie Identität und dann "Anwendungen" aus.
  3. Wählen Sie Unternehmensanwendungen aus.
  4. Wählen Sie die zuvor erstellte Anwendung Oracle Cloud Infrastructure Console aus.
  5. Wählen Sie im linken Menü unter "Verwalten" die Option Provisioning wird ausgeführt, und wählen Sie Provisioning bearbeiten aus.
  6. Wählen Sie auf der Seite "Provisioning" die Option Zuordnungen aus.

  7. Wählen Sie unter "Mappings" die Option Provisioning Entra ID-Benutzer aus.

  8. Blättern Sie unter "Attributzuordnungen" nach unten, und wählen Sie Neue Zuordnung hinzufügen aus.

    Feld "Neues Mapping" unter "Attributmappings" hinzufügen

  9. Führen Sie auf der Seite "Attribut bearbeiten" folgende Schritte aus:
    • Wählen Sie unter Zuordnungstyp die Option Expression aus.
    • Geben Sie unter Ausdruck CBool("true") ein.
    • Wählen Sie unter Zielattribut die Option urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser aus.

      Attribut bearbeiten (Seite)

  10. Wählen Sie OK aus.
  11. Wählen Sie auf der Seite "Attributzuordnung" die Option Speichern aus.

Wenn die Benutzer jetzt von Entra ID zu OCI bereitgestellt werden, wird ihr föderierter Status auf "true" gesetzt. Dies wird auf der Profilseite des Benutzers angezeigt.

  • Navigieren Sie in der OCI-Konsole zu der verwendeten Identitätsdomain, wählen Sie Benutzer aus, und wählen Sie den Benutzer aus, der die Benutzerinformationen anzeigen soll.
  • Föderiert wird als Yes angezeigt.

    Benutzerinformationen, die zeigen, dass der Benutzer föderiert ist

b. Benachrichtigungen für Kontoerstellung oder -aktualisierungen deaktivieren

Das Kennzeichen "Umgehungsbenachrichtigung" steuert, ob eine E-Mail-Benachrichtigung gesendet wird, nachdem ein Benutzer in OCI erstellt oder aktualisiert wurde Wenn Benutzer nicht benachrichtigt werden sollen, dass der Account für sie erstellt wurde, setzen Sie das Kennzeichen für die Umgehungsbenachrichtigung auf "true".

So legen Sie das Kennzeichen für die Umgehungsbenachrichtigung fest:

  1. Melden Sie sich im Browser mit der folgenden URL bei Microsoft Entra ID an:
    
                                https://portal.azure.com
  2. Wählen Sie Identität und dann "Anwendungen" aus.
  3. Wählen Sie Unternehmensanwendungen aus.
  4. Wählen Sie die zuvor erstellte Anwendung Oracle Cloud Infrastructure Console aus.
  5. Wählen Sie im linken Menü unter "Verwalten" die Option Provisioning wird ausgeführt, und wählen Sie Provisioning bearbeiten aus.
  6. Wählen Sie auf der Seite "Provisioning" die Option Zuordnungen aus.

  7. Wählen Sie unter "Mappings" die Option Provisioning Entra ID-Benutzer aus.

    Entra ID-Benutzer auf der Seite "Provisioning-Modus" unter "Mappings" bereitstellen

  8. Blättern Sie unter "Attributzuordnungen" nach unten, und wählen Sie Neue Zuordnung hinzufügen aus.

    Feld "Neues Mapping" unter "Attributmappings" hinzufügen

  9. Führen Sie auf der Seite "Attribut bearbeiten" folgende Schritte aus:
    • Wählen Sie unter Zuordnungstyp die Option Expression aus.
    • Geben Sie unter Ausdruck CBool("true") ein.
    • Wählen Sie unter Zielattribut die Option urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification aus.

      Attribut bearbeiten (Seite)

  10. Wählen Sie OK.
  11. Wählen Sie auf der Seite "Attributzuordnung" die Option Speichern aus.