Tutorial 1: Entra-ID als autoritative Quelle zum Verwalten von Identitäten mit der Entra ID Gallery-Anwendung
Konfigurieren Sie die Entra-ID als autoritativen Identitätsspeicher, um Identitäten in OCI IAM mit einer Anwendungsvorlage aus der Entra-ID-Galerie zu verwalten.
- Konfigurieren Sie OCI IAM so, dass die Entra-ID der Identitätsspeicher für die Verwaltung von Identitäten in OCI IAM ist. Erstellen Sie in OCI IAM eine vertrauliche Anwendung.
- Generieren Sie ein Secret-Token aus der Client-ID und dem Client Secret der OCI IAM-Identitätsdomain. Verwenden Sie dies zusammen mit der Domain-URL in der Entra-ID.
- Erstellen Sie eine App in der Entra-ID, und verwenden Sie das Secret-Token und die Identitätsdomain-URL, um die OCI IAM-Identitätsdomain anzugeben. Stellen Sie sicher, dass sie funktioniert, indem Sie Benutzer von der Entra-ID zu OCI IAM übertragen.
- Weisen Sie die Benutzer und Gruppen, die Sie für OCI IAM bereitstellen möchten, der Entra-ID-Anwendung zu.
- Darüber hinaus Anweisungen, wie Sie
- Legen Sie den föderierten Status der Benutzer so fest, dass sie vom externen Identitätsprovider authentifiziert werden.
- Stoppen Sie, dass Benutzer Benachrichtigungs-E-Mails erhalten, wenn ihr Account erstellt oder aktualisiert wird.
In diesem Abschnitt konfigurieren Sie Entra ID so, dass sie als Identity Manager fungiert, sodass Benutzeraccounts von Entra ID mit OCI IAM synchronisiert werden.
- Wählen Sie in der Identitätsdomain, in der Sie arbeiten, Anwendungen aus.
- Wählen Sie Anwendung hinzufügen, Vertrauliche Anwendung aus, und wählen Sie Workflow starten aus.
- Geben Sie einen Namen für die Anwendung ein. Beispiel:
Entra ID
, und wählen Sie Weiter aus. - Wählen Sie unter "Clientkonfiguration" die Option Diese Anwendung jetzt als Client konfigurieren aus.
- Aktivieren Sie unter Autorisierung die Option Clientzugangsdaten.
- Wählen Sie unter Clienttyp die Option vertraulich aus.
- Scrollen Sie nach unten, und setzen Sie im Abschnitt "Tokenausgabe-Policy" die Option Autorisierte Ressourcen auf Spezifisch.
- Wählen Sie Anwendungsrollen hinzufügen aus.
- Wählen Sie im Abschnitt "Anwendungsrollen" die Option Rollen hinzufügen aus, wählen Sie auf der Seite "Anwendungsrollen hinzufügen" die Option Benutzeradministrator aus, und wählen Sie dann Hinzufügen aus.
- Wählen Sie Weiter, Fertigstellen aus.
- Wählen Sie auf der Überblickseite der Anwendung die Option Aktivieren aus, und bestätigen Sie, dass die Anwendung aktiviert werden soll.
Die vertrauliche Anwendung ist aktiviert.
Sie benötigen zwei Informationen, die Sie als Teil der Verbindungseinstellungen für die Unternehmensanwendung verwenden können, die Sie in der Entra-ID erstellen:
- Die Domain-URL.
- Ein aus der Client-ID und dem Client Secret generiertes Secret-Token.
- Kehren Sie zum Überblick über die Identitätsdomain zurück, indem Sie den Identitätsdomainnamen im Navigationspfad auswählen. Wählen Sie Kopieren neben der Domain-URL in den Domaininformationen aus, und speichern Sie die URL in einer Anwendung, in der Sie sie bearbeiten können.
- Wählen Sie in der vertraulichen App in OCI IAM unter "Ressourcen" die Option OAuth-Konfiguration aus.
- Scrollen Sie nach unten, und suchen Sie unter "Allgemeine Informationen" die Client-ID und das Client Secret.
- Kopieren und speichern Sie die Client-ID.
- Wählen Sie Secret anzeigen aus, und kopieren und speichern Sie das Secret.Das Secret-Token ist die base64-Codierung von
<clientID>:<clientsecret>
oderbase64(<clientID>:<clientsecret>)
Diese Beispiele zeigen, wie das Secret-Token unter Windows, Linux oder MacOS generiert wird.
Öffnen Sie in einer Windows-Umgebung CMD, und verwenden Sie diesen Powershell-Befehl, um die base64-Codierung zu generieren
[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))
In Linux verwenden Sieecho -n <clientID>:<clientsecret> | base64 --wrap=0
Verwenden Sie unter MacOSecho -n <clientID>:<clientsecret> | base64
Das Secret-Token wird zurückgegeben. Beispielecho -n 392357752347523923457437:3454-9853-7843-3554 | base64 Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==
Notieren Sie sich den Wert des Secret-Tokens.
Konfigurieren Sie die Entra-ID, damit die Entra-ID der autoritative Identitätsspeicher zur Verwaltung von Identitäten in IAM ist.
- Melden Sie sich im Browser über die folgende URL bei der Microsoft Entra-ID an:
https://portal.azure.com
- Wählen Sie Identität und dann "Anwendungen" aus.
- Wählen Sie Unternehmensanwendungen aus.
- Wählen Sie auf der Seite "Unternehmensanwendungen" die Option Neue Anwendung und dann Oracle aus.
- Wählen Sie Oracle Cloud Infrastructure-Konsole aus
- Geben Sie einen Namen ein, oder übernehmen Sie den Standardwert
Oracle Cloud Infrastructure-Konsole
. - Wählen Sie Erstellen.
- Wählen Sie im linken Menü unter "Verwalten" die Option Provisioning wird ausgeführt.
- Wählen Sie Erste Schritte aus, und ändern Sie den Provisioning-Modus in Automatisch.
- Geben Sie unter Mandanten-URL die OCI IAM-Domain-URL aus 2. Domain-URL suchen und Secret-Token generieren gefolgt von
/admin/v1
ein. Die Mandanten-URL lautet alsohttps://<domainURL>/admin/v1
- Geben Sie das Secret-Token ein, das Sie im Schritt 2. Suchen Sie die Domain-URL, und generieren Sie ein Secret Token generiert haben.
- Wählen Sie Verbindung testen aus. Wenn diese Meldung angezeigt wird, ist die Verbindung erfolgreich:
Testing connection to Oracle Cloud Infrastructure Console The supplied credentials are authorized to enable provisioning
- Wählen Sie im linken Menü unter "Manage" die Option Provisioning, und wählen Sie Start Provisioning. Der Provisioning-Zyklus wird gestartet, und der Status des Provisionings wird angezeigt.
Weisen Sie die Benutzer, die Sie für OCI IAM bereitstellen möchten, der Entra-ID-Anwendung zu.
- Wählen Sie in Entra ID im linken Menü die Option Unternehmensanwendungen.
- Wählen Sie die zuvor erstellte Anwendung
Oracle Cloud Infrastructure Console
aus. - Wählen Sie im linken Menü unter "Verwalten" die Option Benutzer und Gruppen aus.
- Wählen Sie auf der Seite "Benutzer und Gruppen" die Option Benutzer/Gruppe hinzufügen.
- Wählen Sie auf der Seite "Zuweisung hinzufügen" links unter "Benutzer und Gruppen" die Option Keine ausgewählt aus.
Die Seite "Benutzer und Gruppen" wird geöffnet.
- Wählen Sie mindestens einen Benutzer oder eine Gruppe in der Liste, indem Sie sie auswählen. Die ausgewählten Benutzer werden unter "Ausgewählte Elemente" aufgeführt.
- Wählen Sie Select. Die Anzahl der ausgewählten Benutzer und Gruppen wird auf der Seite "Zuweisung hinzufügen" angezeigt.
- Wählen Sie auf der Seite "Zuweisung hinzufügen" die Option Zuweisen aus.
Auf der Seite "Benutzer und Gruppen" werden jetzt die von Ihnen ausgewählten Benutzer und Gruppen angezeigt.
- Wählen Sie im linken Menü die Option {\b Provisioning}, um die Gruppen und Benutzer bereitzustellen. Das Provisioning-Log zeigt den Status an.
- Wenn das Provisioning erfolgreich war, zeigt der aktuelle Zyklusstatus an, dass der inkrementelle Zyklus abgeschlossen ist, und die Anzahl der für OCI IAM bereitgestellten Benutzer wird angezeigt.
In OCI IAM werden jetzt die Benutzer und Gruppen angezeigt, die über die Entra-ID bereitgestellt wurden.
Hinweis
Wenn Sie Benutzer mit der Entra-ID aus der Oracle Cloud Infrastructure-Konsolenanwendung entfernen, wird der Benutzer nur in OCI IAM deaktiviert.
- Sie können den föderierten Status von Benutzern so festlegen, dass sie vom externen Identitätsprovider authentifiziert werden.
- Sie können Benachrichtigungs-E-Mails deaktivieren, die an den Benutzer gesendet werden, wenn sein Account erstellt oder aktualisiert wird.
Föderierte Benutzer haben keine Zugangsdaten für die direkte Anmeldung bei OCI. Stattdessen werden sie vom externen Identitätsprovider authentifiziert. Wenn Benutzer ihre Verbundaccounts bei OCI anmelden sollen, setzen Sie das Verbundattribut für diese Benutzer auf "true".
So legen Sie den föderierten Status des Benutzers fest:
- Melden Sie sich im Browser über die folgende URL bei der Microsoft Entra-ID an:
https://portal.azure.com
- Wählen Sie Identität und dann "Anwendungen" aus.
- Wählen Sie Unternehmensanwendungen aus.
- Wählen Sie die zuvor erstellte Anwendung
Oracle Cloud Infrastructure Console
aus. - Wählen Sie im linken Menü unter "Verwalten" die Option Provisioning wird ausgeführt und dann Provisioning bearbeiten.
- Wählen Sie auf der Seite "Provisioning" die Option Zuordnungen aus.
-
Wählen Sie unter "Zuordnungen" die Option Entra-ID-Benutzer durch Provisioning bereitstellen aus.
- Blättern Sie unter "Attributzuordnungen" nach unten, und wählen Sie Neue Zuordnung hinzufügen aus.
- Auf der Seite "Attribut bearbeiten":
- Wählen Sie unter Zuordnungstyp die Option
Expression
aus. - Geben Sie unter Ausdruck
CBool("true")
ein. - Wählen Sie unter Zielattribut die Option
urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser
aus.
- Wählen Sie unter Zuordnungstyp die Option
- Klicken Sie auf Ok.
- Wählen Sie auf der Seite "Attributzuordnung" die Option Speichern.
Wenn die Benutzer nun aus der Entra-ID in OCI bereitgestellt werden, wird ihr föderierter Status auf "true" gesetzt. Dies wird auf der Profilseite des Benutzers angezeigt.
- Navigieren Sie in der OCI-Konsole zu der verwendeten Identitätsdomain, wählen Sie Benutzer aus, und wählen Sie den Benutzer aus, der die Benutzerinformationen anzeigen soll.
- Föderiert wird als
Yes
angezeigt.
Das Flag für die Umgehungsbenachrichtigung steuert, ob eine E-Mail-Benachrichtigung gesendet wird, nachdem ein Benutzeraccount in OCI erstellt oder aktualisiert wurde. Wenn Sie nicht möchten, dass Benutzer benachrichtigt werden, dass ein Account für sie erstellt wurde, setzen Sie das Kennzeichen "Benachrichtigung umgehen" auf "true".
So legen Sie das Umgehungsbenachrichtigungskennzeichen fest:
- Melden Sie sich im Browser über die folgende URL bei der Microsoft Entra-ID an:
https://portal.azure.com
- Wählen Sie Identität und dann "Anwendungen" aus.
- Wählen Sie Unternehmensanwendungen aus.
- Wählen Sie die zuvor erstellte Anwendung
Oracle Cloud Infrastructure Console
aus. - Wählen Sie im linken Menü unter "Verwalten" die Option Provisioning wird ausgeführt und dann Provisioning bearbeiten.
- Wählen Sie auf der Seite "Provisioning" die Option Zuordnungen aus.
-
Wählen Sie unter "Zuordnungen" die Option Entra-ID-Benutzer durch Provisioning bereitstellen aus.
- Blättern Sie unter "Attributzuordnungen" nach unten, und wählen Sie Neue Zuordnung hinzufügen aus.
- Auf der Seite "Attribut bearbeiten":
- Wählen Sie unter Zuordnungstyp die Option
Expression
aus. - Geben Sie unter Ausdruck
CBool("true")
ein. - Wählen Sie unter Zielattribut die Option
urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification
aus.
- Wählen Sie unter Zuordnungstyp die Option
- Klicken Sie auf Ok.
- Wählen Sie auf der Seite "Attributzuordnung" die Option Speichern.