Oracle Cloud Infrastructure - Dokumentation

Tutorial 1: Entra-ID als autoritative Quelle zum Verwalten von Identitäten mit der Entra ID Gallery-Anwendung

Konfigurieren Sie die Entra-ID als autoritativen Identitätsspeicher, um Identitäten in OCI IAM mit einer Anwendungsvorlage aus der Entra-ID-Galerie zu verwalten.

  1. Konfigurieren Sie OCI IAM so dass die Entra-ID der Identitätsspeicher für die Verwaltung von Identitäten in OCI IAM ist. Erstellen Sie in OCI IAM eine vertrauliche Anwendung.
  2. Generieren Sie ein Secret-Token aus der Client-ID und dem Client Secret der OCI IAM-Identitätsdomain. Verwenden Sie diese zusammen mit der Domain-URL in der Entra-ID.
  3. Erstellen Sie eine App in der Entra-ID, und verwenden Sie das Secret-Token und die Identitätsdomain-URL, um die OCI IAM-Identitätsdomain anzugeben. Stellen Sie sicher, dass sie funktioniert, indem Sie Benutzer von der Entra-ID zu OCI IAM übertragen.
  4. Weisen Sie die Benutzer und Gruppen, die Sie für OCI IAM bereitstellen möchten, der Entra-ID-Anwendung zu.
  1. Darüber hinaus Anweisungen, wie Sie
    • Legen Sie den föderierten Status der Benutzer so fest, dass sie vom externen Identitätsprovider authentifiziert werden.
    • Stoppen Sie, dass Benutzer Benachrichtigungs-E-Mails erhalten, wenn ihr Account erstellt oder aktualisiert wird.
1. Vertrauliche Anwendung erstellen

In diesem Abschnitt konfigurieren Sie die Entra-ID so, dass sie als Identity Manager fungiert, sodass Benutzeraccounts von der Entra-ID mit OCI IAM synchronisiert werden.

  1. Klicken Sie in der Identitätsdomain, in der Sie arbeiten, auf Anwendungen.
  2. Klicken Sie auf Anwendung hinzufügen, wählen Sie Vertikale Anwendung aus, und klicken Sie auf Workflow starten.

    Vertrauliche Anwendung

  3. Geben Sie einen Namen für die Anwendung ein. Beispiel: Entra ID. Klicken Sie auf Weiter.
  4. Wählen Sie unter "Clientkonfiguration" die Option Diese Anwendung jetzt als Client konfigurieren aus.

    Anwendung als Client konfigurieren

  5. Aktivieren Sie unter Autorisierung die Option Clientzugangsdaten.

    Anwendung für Clientzugangsdaten konfigurieren

  6. Wählen Sie unter Clienttyp die Option vertraulich aus.
  7. Scrollen Sie nach unten, und setzen Sie im Abschnitt "Tokenausgabe-Policy" die Option Autorisierte Ressourcen auf Spezifisch.

    Tokenausgabe-Policy

  8. Wählen Sie Anwendungsrollen hinzufügen aus.
  9. Klicken Sie im Abschnitt "Anwendungsrollen" auf Rollen hinzufügen, wählen Sie auf der Seite "Anwendungsrollen hinzufügen" die Option Benutzeradministrator aus, und klicken Sie dann auf Hinzufügen.

    Anwendungsrollen hinzufügen

  10. Klicken Sie auf Weiter und dann auf Fertigstellen.
  11. Klicken Sie auf der Überblickseite der Anwendung auf Activate, und bestätigen Sie, dass die Anwendung aktiviert werden soll.

    Die vertrauliche Anwendung ist aktiviert.

2. Domain-URL suchen und Secret-Token generieren

Sie benötigen zwei Informationen, die Sie als Teil der Verbindungseinstellungen für die Unternehmensanwendung verwenden können, die Sie in der Entra-ID erstellen:

  • Die Domain-URL.
  • Ein aus der Client-ID und dem Client Secret generiertes Secret-Token.
  1. Kehren Sie zum Identitätsdomainüberblick zurück, indem Sie im Navigationspfad auf den Identitätsdomainnamen klicken. Klicken Sie in den Domaininformationen neben der Domain-URL auf Kopieren, und speichern Sie die URL in einer App, in der Sie sie bearbeiten können.

    Die Domaininformationen, die zeigen, wo sich die Domain-URL-Informationen befinden.

  2. Klicken Sie in der vertraulichen App in OCI IAM unter "Ressourcen" auf OAuth-Konfiguration.
  3. Scrollen Sie nach unten, und suchen Sie unter "Allgemeine Informationen" die Client-ID und das Client Secret.
  4. Kopieren und speichern Sie die Client-ID.
  5. Klicken Sie auf Secret anzeigen, und kopieren und speichern Sie das Secret.

    Client-ID und Client Secret

    Das Secret-Token ist die base64-Codierung von <clientID>:<clientsecret> oder
    base64(<clientID>:<clientsecret>)

    Diese Beispiele zeigen, wie das Secret-Token unter Windows, Linux oder MacOS generiert wird.

    Öffnen Sie in einer Windows-Umgebung CMD, und generieren Sie mit diesem Powershell-Befehl die base64-Codierung[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"

    In Linux verwenden Sie
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    Verwenden Sie unter MacOS
    echo -n <clientID>:<clientsecret> | base64
    Das Secret-Token wird zurückgegeben. Beispiel
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notieren Sie sich den Wert des Secret-Tokens.

3. OCI-Anwendung auf Entra-ID erstellen

Konfigurieren Sie die Entra-ID, damit die Entra-ID der autoritative Identitätsspeicher für die Verwaltung von Identitäten in IAM ist.

  1. Melden Sie sich im Browser über die folgende URL bei der Microsoft Entra-ID an:
    https://portal.azure.com
  2. Klicken Sie auf Identität und dann auf "Anwendungen".
  3. Klicken Sie auf Enterprise applications.

    Unternehmensanwendung hinzufügen

  4. Klicken Sie auf der Seite "Unternehmensanwendungen" auf Neue Anwendung und dann auf Oracle.
  5. Wählen Sie Oracle Cloud Infrastructure-Konsole aus

    Oracle Cloud Infrastructure-Konsole auswählen

  6. Geben Sie einen Namen ein, oder übernehmen Sie den Standardwert Oracle Cloud Infrastructure-Konsole.
  7. Klicken Sie auf Erstellen.

    OCI-IAM-Konsolen-App erstellen

  8. Wählen Sie im linken Menü unter "Verwalten" die Option Provisioning wird ausgeführt.

    Provisioning-Seite für die Unternehmensanwendung in Entra-ID

  9. Klicken Sie auf Erste Schritte, und ändern Sie den Provisioning-Modus in Automatisch.
  10. Geben Sie unter Mandanten-URL die OCI IAM-Domain-URL aus 2. Domain-URL suchen und Secret-Token generieren gefolgt von /admin/v1 ein. Die Mandanten-URL lautet also 
    https://<domainURL>/admin/v1
  11. Geben Sie das Secret-Token ein, das Sie im Schritt 2. Suchen Sie die Domain-URL, und generieren Sie ein Secret Token generiert haben.

    Administratorzugangsdaten eingeben

  12. Klicken Sie auf Verbindung testen. Wenn diese Meldung angezeigt wird, ist die Verbindung erfolgreich:
    Testing connection to Oracle Cloud Infrastructure Console
The supplied credentials are authorized to enable provisioning
  13. Wählen Sie im linken Menü unter "Verwalten" die Option Provisioning, und klicken Sie auf Provisioning starten. Der Provisioning-Zyklus wird gestartet, und der Status des Provisionings wird angezeigt.
4. Benutzer und Gruppen der Entra-ID-Anwendung zuweisen

Weisen Sie die Benutzer, die Sie für OCI IAM bereitstellen möchten, der Entra-ID-Anwendung zu.

  1. Klicken Sie in Entra ID im linken Menü auf Enterprise applications.
  2. Klicken Sie auf die zuvor erstellte Anwendung Oracle Cloud Infrastructure Console.
  3. Klicken Sie im linken Menü unter "Verwalten" auf Benutzer und Gruppen.
  4. Klicken Sie auf der Seite "Benutzer und Gruppen" auf Benutzer/Gruppe hinzufügen.
  5. Klicken Sie auf der Seite "Zuweisung hinzufügen" links unter "Benutzer und Gruppen" auf Keine Auswahl.

    Die Seite "Benutzer und Gruppen" wird geöffnet.

  6. Wählen Sie mindestens einen Benutzer oder eine Gruppe in der Liste aus, indem Sie darauf klicken. Die ausgewählten Benutzer werden unter "Ausgewählte Elemente" aufgeführt.

    Benutzer und Gruppen

  7. Klicken Sie auf Wählen. Die Anzahl der ausgewählten Benutzer und Gruppen wird auf der Seite "Zuweisung hinzufügen" angezeigt.

    Die Anzahl der ausgewählten Benutzer und Gruppen wird auf der Seite "Arbeitsstelle hinzufügen" angezeigt.

  8. Klicken Sie auf der Seite "Hinzufügen" auf Zuweisen.

    Auf der Seite "Benutzer und Gruppen" werden jetzt die von Ihnen ausgewählten Benutzer und Gruppen angezeigt.

    Die ausgewählten Benutzer und Gruppen werden in der Liste der Benutzer und Gruppen für die App angezeigt.

  9. Klicken Sie im linken Menü auf Provisioning, um die Gruppen und Benutzer bereitzustellen. Im Provisioning-Log wird der Status angezeigt.

    Das Provisioning-Log mit dem Status "Erfolgreich".

  10. Wenn das Provisioning erfolgreich war, zeigt der aktuelle Zyklusstatus an, dass der inkrementelle Zyklus abgeschlossen ist, und die Anzahl der für OCI IAM bereitgestellten Benutzer wird angezeigt.

    Der Status des Provisionings wird zusammen mit der Anzahl der für OCI IAM bereitgestellten Benutzer angezeigt

    In OCI IAM werden jetzt die Benutzer und Gruppen angezeigt, die über die Entra-ID bereitgestellt wurden.

    Die Entra-ID-Benutzer, die jetzt in IAM bereitgestellt werden
    Hinweis

    Wenn Sie Benutzer aus der Oracle Cloud Infrastructure-Konsolenanwendung in der Entra-ID entfernen, wird der Benutzer nur in OCI IAM deaktiviert.

    Die Entra-ID-Gruppen, die jetzt in IAM bereitgestellt werden

5. Zusätzliche Konfigurationen für föderierte Benutzer
  • Sie können den föderierten Status von Benutzern so festlegen, dass sie vom externen Identitätsprovider authentifiziert werden.
  • Sie können Benachrichtigungs-E-Mails deaktivieren, die an den Benutzer gesendet werden, wenn sein Account erstellt oder aktualisiert wird.
a. Föderationsstatus von Benutzern festlegen

Föderierte Benutzer haben keine Zugangsdaten, um sich direkt bei OCI anzumelden. Stattdessen werden sie vom externen Identitätsprovider authentifiziert. Wenn Benutzer ihre föderierten Accounts zur Anmeldung bei OCI verwenden sollen, setzen Sie das föderierte Attribut für diese Benutzer auf "true".

So legen Sie den föderierten Status des Benutzers fest:

  1. Melden Sie sich im Browser über die folgende URL bei der Microsoft Entra-ID an:
    https://portal.azure.com
  2. Klicken Sie auf Identität und dann auf "Anwendungen".
  3. Klicken Sie auf Enterprise applications.
  4. Klicken Sie auf die zuvor erstellte Anwendung Oracle Cloud Infrastructure Console.
  5. Klicken Sie im linken Menü unter "Verwalten" auf Provisioning und dann auf Provisioning bearbeiten.
  6. Klicken Sie auf der Seite "Provisioning" auf Zuordnungen.

  7. Klicken Sie unter "Zuordnungen" auf Entra-ID-Benutzer bereitstellen.

  8. Blättern Sie unter "Attributzuordnungen" nach unten, und klicken Sie auf Neue Zuordnung hinzufügen.

    Feld "Neue Zuordnung" unter "Attributzuordnungen" hinzufügen

  9. Auf der Seite "Attribut bearbeiten":
    • Wählen Sie unter Zuordnungstyp die Option Expression aus.
    • Geben Sie unter Ausdruck CBool("true") ein.
    • Wählen Sie unter Zielattribut die Option urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser aus.

      Attribut bearbeiten (Seite)

  10. Klicken Sie auf OK.
  11. Klicken Sie auf der Seite "Attributzuordnung" auf Speichern.

Wenn die Benutzer nun von der Entra-ID in OCI bereitgestellt werden, wird ihr föderierter Status auf "true" gesetzt. Dies wird auf der Profilseite des Benutzers angezeigt.

  • Navigieren Sie in der OCI-Konsole zu der von Ihnen verwendeten Identitätsdomain, klicken Sie auf Benutzer, und klicken Sie auf den Benutzer, um die Benutzerinformationen anzuzeigen.
  • Föderiert wird als Yes angezeigt.

    Benutzerinformationen, die zeigen, dass der Benutzer föderiert ist

b. Benachrichtigungen für Accounterstellung oder -aktualisierungen deaktivieren

Das Umgehungsbenachrichtigungskennzeichen steuert, ob eine E-Mail-Benachrichtigung gesendet wird, nachdem ein Benutzeraccount in OCI erstellt oder aktualisiert wurde. Wenn Sie nicht möchten, dass Benutzer benachrichtigt werden, dass ein Account für sie erstellt wurde, setzen Sie das Umgehungsbenachrichtigungskennzeichen auf "true".

So legen Sie das Umgehungsbenachrichtigungskennzeichen fest:

  1. Melden Sie sich im Browser über die folgende URL bei der Microsoft Entra-ID an:
    https://portal.azure.com
  2. Klicken Sie auf Identität und dann auf "Anwendungen".
  3. Klicken Sie auf Enterprise applications.
  4. Klicken Sie auf die zuvor erstellte Anwendung Oracle Cloud Infrastructure Console.
  5. Klicken Sie im linken Menü unter "Verwalten" auf Provisioning und dann auf Provisioning bearbeiten.
  6. Klicken Sie auf der Seite "Provisioning" auf Zuordnungen.

  7. Klicken Sie unter "Zuordnungen" auf Entra-ID-Benutzer bereitstellen.

    Entra-ID-Benutzer unter Mappings auf der Seite "Provisioning-Modus" bereitstellen

  8. Blättern Sie unter "Attributzuordnungen" nach unten, und klicken Sie auf Neue Zuordnung hinzufügen.

    Feld "Neue Zuordnung" unter "Attributzuordnungen" hinzufügen

  9. Auf der Seite "Attribut bearbeiten":
    • Wählen Sie unter Zuordnungstyp die Option Expression aus.
    • Geben Sie unter Ausdruck CBool("true") ein.
    • Wählen Sie unter Zielattribut die Option urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification aus.

      Attribut bearbeiten (Seite)

  10. Klicken Sie auf OK.
  11. Klicken Sie auf der Seite "Attributzuordnung" auf Speichern.