Tutorial 1: Entra-ID als autoritative Quelle zum Verwalten von Identitäten mit der Entra ID Gallery-Anwendung
Konfigurieren Sie die Entra-ID als autoritativen Identitätsspeicher, um Identitäten in OCI IAM mit einer Anwendungsvorlage aus der Entra-ID-Galerie zu verwalten.
- Konfigurieren Sie OCI IAM so dass die Entra-ID der Identitätsspeicher für die Verwaltung von Identitäten in OCI IAM ist. Erstellen Sie in OCI IAM eine vertrauliche Anwendung.
- Generieren Sie ein Secret-Token aus der Client-ID und dem Client Secret der OCI IAM-Identitätsdomain. Verwenden Sie diese zusammen mit der Domain-URL in der Entra-ID.
- Erstellen Sie eine App in der Entra-ID, und verwenden Sie das Secret-Token und die Identitätsdomain-URL, um die OCI IAM-Identitätsdomain anzugeben. Stellen Sie sicher, dass sie funktioniert, indem Sie Benutzer von der Entra-ID zu OCI IAM übertragen.
- Weisen Sie die Benutzer und Gruppen, die Sie für OCI IAM bereitstellen möchten, der Entra-ID-Anwendung zu.
- Darüber hinaus Anweisungen, wie Sie
- Legen Sie den föderierten Status der Benutzer so fest, dass sie vom externen Identitätsprovider authentifiziert werden.
- Stoppen Sie, dass Benutzer Benachrichtigungs-E-Mails erhalten, wenn ihr Account erstellt oder aktualisiert wird.
In diesem Abschnitt konfigurieren Sie die Entra-ID so, dass sie als Identity Manager fungiert, sodass Benutzeraccounts von der Entra-ID mit OCI IAM synchronisiert werden.
- Klicken Sie in der Identitätsdomain, in der Sie arbeiten, auf Anwendungen.
- Klicken Sie auf Anwendung hinzufügen, wählen Sie Vertikale Anwendung aus, und klicken Sie auf Workflow starten.
- Geben Sie einen Namen für die Anwendung ein. Beispiel:
Entra ID
. Klicken Sie auf Weiter. - Wählen Sie unter "Clientkonfiguration" die Option Diese Anwendung jetzt als Client konfigurieren aus.
- Aktivieren Sie unter Autorisierung die Option Clientzugangsdaten.
- Wählen Sie unter Clienttyp die Option vertraulich aus.
- Scrollen Sie nach unten, und setzen Sie im Abschnitt "Tokenausgabe-Policy" die Option Autorisierte Ressourcen auf Spezifisch.
- Wählen Sie Anwendungsrollen hinzufügen aus.
- Klicken Sie im Abschnitt "Anwendungsrollen" auf Rollen hinzufügen, wählen Sie auf der Seite "Anwendungsrollen hinzufügen" die Option Benutzeradministrator aus, und klicken Sie dann auf Hinzufügen.
- Klicken Sie auf Weiter und dann auf Fertigstellen.
- Klicken Sie auf der Überblickseite der Anwendung auf Activate, und bestätigen Sie, dass die Anwendung aktiviert werden soll.
Die vertrauliche Anwendung ist aktiviert.
Sie benötigen zwei Informationen, die Sie als Teil der Verbindungseinstellungen für die Unternehmensanwendung verwenden können, die Sie in der Entra-ID erstellen:
- Die Domain-URL.
- Ein aus der Client-ID und dem Client Secret generiertes Secret-Token.
- Kehren Sie zum Identitätsdomainüberblick zurück, indem Sie im Navigationspfad auf den Identitätsdomainnamen klicken. Klicken Sie in den Domaininformationen neben der Domain-URL auf Kopieren, und speichern Sie die URL in einer App, in der Sie sie bearbeiten können.
- Klicken Sie in der vertraulichen App in OCI IAM unter "Ressourcen" auf OAuth-Konfiguration.
- Scrollen Sie nach unten, und suchen Sie unter "Allgemeine Informationen" die Client-ID und das Client Secret.
- Kopieren und speichern Sie die Client-ID.
- Klicken Sie auf Secret anzeigen, und kopieren und speichern Sie das Secret.Das Secret-Token ist die base64-Codierung von
<clientID>:<clientsecret>
oderbase64(<clientID>:<clientsecret>)
Diese Beispiele zeigen, wie das Secret-Token unter Windows, Linux oder MacOS generiert wird.
Öffnen Sie in einer Windows-Umgebung CMD, und generieren Sie mit diesem Powershell-Befehl die base64-Codierung
[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))"
In Linux verwenden Sieecho -n <clientID>:<clientsecret> | base64 --wrap=0
Verwenden Sie unter MacOSecho -n <clientID>:<clientsecret> | base64
Das Secret-Token wird zurückgegeben. Beispielecho -n 392357752347523923457437:3454-9853-7843-3554 | base64 Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==
Notieren Sie sich den Wert des Secret-Tokens.
Konfigurieren Sie die Entra-ID, damit die Entra-ID der autoritative Identitätsspeicher für die Verwaltung von Identitäten in IAM ist.
- Melden Sie sich im Browser über die folgende URL bei der Microsoft Entra-ID an:
https://portal.azure.com
- Klicken Sie auf Identität und dann auf "Anwendungen".
- Klicken Sie auf Enterprise applications.
- Klicken Sie auf der Seite "Unternehmensanwendungen" auf Neue Anwendung und dann auf Oracle.
- Wählen Sie Oracle Cloud Infrastructure-Konsole aus
- Geben Sie einen Namen ein, oder übernehmen Sie den Standardwert
Oracle Cloud Infrastructure-Konsole
. - Klicken Sie auf Erstellen.
- Wählen Sie im linken Menü unter "Verwalten" die Option Provisioning wird ausgeführt.
- Klicken Sie auf Erste Schritte, und ändern Sie den Provisioning-Modus in Automatisch.
- Geben Sie unter Mandanten-URL die OCI IAM-Domain-URL aus 2. Domain-URL suchen und Secret-Token generieren gefolgt von
/admin/v1
ein. Die Mandanten-URL lautet alsohttps://<domainURL>/admin/v1
- Geben Sie das Secret-Token ein, das Sie im Schritt 2. Suchen Sie die Domain-URL, und generieren Sie ein Secret Token generiert haben.
- Klicken Sie auf Verbindung testen. Wenn diese Meldung angezeigt wird, ist die Verbindung erfolgreich:
Testing connection to Oracle Cloud Infrastructure Console The supplied credentials are authorized to enable provisioning
- Wählen Sie im linken Menü unter "Verwalten" die Option Provisioning, und klicken Sie auf Provisioning starten. Der Provisioning-Zyklus wird gestartet, und der Status des Provisionings wird angezeigt.
Weisen Sie die Benutzer, die Sie für OCI IAM bereitstellen möchten, der Entra-ID-Anwendung zu.
- Klicken Sie in Entra ID im linken Menü auf Enterprise applications.
- Klicken Sie auf die zuvor erstellte Anwendung
Oracle Cloud Infrastructure Console
. - Klicken Sie im linken Menü unter "Verwalten" auf Benutzer und Gruppen.
- Klicken Sie auf der Seite "Benutzer und Gruppen" auf Benutzer/Gruppe hinzufügen.
- Klicken Sie auf der Seite "Zuweisung hinzufügen" links unter "Benutzer und Gruppen" auf Keine Auswahl.
Die Seite "Benutzer und Gruppen" wird geöffnet.
- Wählen Sie mindestens einen Benutzer oder eine Gruppe in der Liste aus, indem Sie darauf klicken. Die ausgewählten Benutzer werden unter "Ausgewählte Elemente" aufgeführt.
- Klicken Sie auf Wählen. Die Anzahl der ausgewählten Benutzer und Gruppen wird auf der Seite "Zuweisung hinzufügen" angezeigt.
- Klicken Sie auf der Seite "Hinzufügen" auf Zuweisen.
Auf der Seite "Benutzer und Gruppen" werden jetzt die von Ihnen ausgewählten Benutzer und Gruppen angezeigt.
- Klicken Sie im linken Menü auf Provisioning, um die Gruppen und Benutzer bereitzustellen. Im Provisioning-Log wird der Status angezeigt.
- Wenn das Provisioning erfolgreich war, zeigt der aktuelle Zyklusstatus an, dass der inkrementelle Zyklus abgeschlossen ist, und die Anzahl der für OCI IAM bereitgestellten Benutzer wird angezeigt.
In OCI IAM werden jetzt die Benutzer und Gruppen angezeigt, die über die Entra-ID bereitgestellt wurden.
Hinweis
Wenn Sie Benutzer aus der Oracle Cloud Infrastructure-Konsolenanwendung in der Entra-ID entfernen, wird der Benutzer nur in OCI IAM deaktiviert.
- Sie können den föderierten Status von Benutzern so festlegen, dass sie vom externen Identitätsprovider authentifiziert werden.
- Sie können Benachrichtigungs-E-Mails deaktivieren, die an den Benutzer gesendet werden, wenn sein Account erstellt oder aktualisiert wird.
Föderierte Benutzer haben keine Zugangsdaten, um sich direkt bei OCI anzumelden. Stattdessen werden sie vom externen Identitätsprovider authentifiziert. Wenn Benutzer ihre föderierten Accounts zur Anmeldung bei OCI verwenden sollen, setzen Sie das föderierte Attribut für diese Benutzer auf "true".
So legen Sie den föderierten Status des Benutzers fest:
- Melden Sie sich im Browser über die folgende URL bei der Microsoft Entra-ID an:
https://portal.azure.com
- Klicken Sie auf Identität und dann auf "Anwendungen".
- Klicken Sie auf Enterprise applications.
- Klicken Sie auf die zuvor erstellte Anwendung
Oracle Cloud Infrastructure Console
. - Klicken Sie im linken Menü unter "Verwalten" auf Provisioning und dann auf Provisioning bearbeiten.
- Klicken Sie auf der Seite "Provisioning" auf Zuordnungen.
-
Klicken Sie unter "Zuordnungen" auf Entra-ID-Benutzer bereitstellen.
- Blättern Sie unter "Attributzuordnungen" nach unten, und klicken Sie auf Neue Zuordnung hinzufügen.
- Auf der Seite "Attribut bearbeiten":
- Wählen Sie unter Zuordnungstyp die Option
Expression
aus. - Geben Sie unter Ausdruck
CBool("true")
ein. - Wählen Sie unter Zielattribut die Option
urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser
aus.
- Wählen Sie unter Zuordnungstyp die Option
- Klicken Sie auf OK.
- Klicken Sie auf der Seite "Attributzuordnung" auf Speichern.
Wenn die Benutzer nun von der Entra-ID in OCI bereitgestellt werden, wird ihr föderierter Status auf "true" gesetzt. Dies wird auf der Profilseite des Benutzers angezeigt.
- Navigieren Sie in der OCI-Konsole zu der von Ihnen verwendeten Identitätsdomain, klicken Sie auf Benutzer, und klicken Sie auf den Benutzer, um die Benutzerinformationen anzuzeigen.
- Föderiert wird als
Yes
angezeigt.
Das Umgehungsbenachrichtigungskennzeichen steuert, ob eine E-Mail-Benachrichtigung gesendet wird, nachdem ein Benutzeraccount in OCI erstellt oder aktualisiert wurde. Wenn Sie nicht möchten, dass Benutzer benachrichtigt werden, dass ein Account für sie erstellt wurde, setzen Sie das Umgehungsbenachrichtigungskennzeichen auf "true".
So legen Sie das Umgehungsbenachrichtigungskennzeichen fest:
- Melden Sie sich im Browser über die folgende URL bei der Microsoft Entra-ID an:
https://portal.azure.com
- Klicken Sie auf Identität und dann auf "Anwendungen".
- Klicken Sie auf Enterprise applications.
- Klicken Sie auf die zuvor erstellte Anwendung
Oracle Cloud Infrastructure Console
. - Klicken Sie im linken Menü unter "Verwalten" auf Provisioning und dann auf Provisioning bearbeiten.
- Klicken Sie auf der Seite "Provisioning" auf Zuordnungen.
-
Klicken Sie unter "Zuordnungen" auf Entra-ID-Benutzer bereitstellen.
- Blättern Sie unter "Attributzuordnungen" nach unten, und klicken Sie auf Neue Zuordnung hinzufügen.
- Auf der Seite "Attribut bearbeiten":
- Wählen Sie unter Zuordnungstyp die Option
Expression
aus. - Geben Sie unter Ausdruck
CBool("true")
ein. - Wählen Sie unter Zielattribut die Option
urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification
aus.
- Wählen Sie unter Zuordnungstyp die Option
- Klicken Sie auf OK.
- Klicken Sie auf der Seite "Attributzuordnung" auf Speichern.