Tutorial 1: Entra-ID als autoritative Quelle zum Verwalten von Identitäten mit der Entra ID Gallery-Anwendung

Konfigurieren Sie die Entra-ID als autoritativen Identitätsspeicher, um Identitäten in OCI IAM mit einer Anwendungsvorlage aus der Entra-ID-Galerie zu verwalten.

  1. Konfigurieren Sie OCI IAM so, dass die Entra-ID der Identitätsspeicher für die Verwaltung von Identitäten in OCI IAM ist. Erstellen Sie in OCI IAM eine vertrauliche Anwendung.
  2. Generieren Sie ein Secret-Token aus der Client-ID und dem Client Secret der OCI IAM-Identitätsdomain. Verwenden Sie dies zusammen mit der Domain-URL in der Entra-ID.
  3. Erstellen Sie eine App in der Entra-ID, und verwenden Sie das Secret-Token und die Identitätsdomain-URL, um die OCI IAM-Identitätsdomain anzugeben. Stellen Sie sicher, dass sie funktioniert, indem Sie Benutzer von der Entra-ID zu OCI IAM übertragen.
  4. Weisen Sie die Benutzer und Gruppen, die Sie für OCI IAM bereitstellen möchten, der Entra-ID-Anwendung zu.
  1. Darüber hinaus Anweisungen, wie Sie
    • Legen Sie den föderierten Status der Benutzer so fest, dass sie vom externen Identitätsprovider authentifiziert werden.
    • Stoppen Sie, dass Benutzer Benachrichtigungs-E-Mails erhalten, wenn ihr Account erstellt oder aktualisiert wird.
1. Vertrauliche Anwendung erstellen

In diesem Abschnitt konfigurieren Sie Entra ID so, dass sie als Identity Manager fungiert, sodass Benutzeraccounts von Entra ID mit OCI IAM synchronisiert werden.

  1. Wählen Sie in der Identitätsdomain, in der Sie arbeiten, Anwendungen aus.
  2. Wählen Sie Anwendung hinzufügen, Vertrauliche Anwendung aus, und wählen Sie Workflow starten aus.

    Vertrauliche Anwendung

  3. Geben Sie einen Namen für die Anwendung ein. Beispiel: Entra ID, und wählen Sie Weiter aus.
  4. Wählen Sie unter "Clientkonfiguration" die Option Diese Anwendung jetzt als Client konfigurieren aus.

    Anwendung als Client konfigurieren

  5. Aktivieren Sie unter Autorisierung die Option Clientzugangsdaten.

    Anwendung für Clientzugangsdaten konfigurieren

  6. Wählen Sie unter Clienttyp die Option vertraulich aus.
  7. Scrollen Sie nach unten, und setzen Sie im Abschnitt "Tokenausgabe-Policy" die Option Autorisierte Ressourcen auf Spezifisch.

    Tokenausgabe-Policy

  8. Wählen Sie Anwendungsrollen hinzufügen aus.
  9. Wählen Sie im Abschnitt "Anwendungsrollen" die Option Rollen hinzufügen aus, wählen Sie auf der Seite "Anwendungsrollen hinzufügen" die Option Benutzeradministrator aus, und wählen Sie dann Hinzufügen aus.

    Anwendungsrollen hinzufügen

  10. Wählen Sie Weiter, Fertigstellen aus.
  11. Wählen Sie auf der Überblickseite der Anwendung die Option Aktivieren aus, und bestätigen Sie, dass die Anwendung aktiviert werden soll.

    Die vertrauliche Anwendung ist aktiviert.

2. Domain-URL suchen und Secret-Token generieren

Sie benötigen zwei Informationen, die Sie als Teil der Verbindungseinstellungen für die Unternehmensanwendung verwenden können, die Sie in der Entra-ID erstellen:

  • Die Domain-URL.
  • Ein aus der Client-ID und dem Client Secret generiertes Secret-Token.
  1. Kehren Sie zum Überblick über die Identitätsdomain zurück, indem Sie den Identitätsdomainnamen im Navigationspfad auswählen. Wählen Sie Kopieren neben der Domain-URL in den Domaininformationen aus, und speichern Sie die URL in einer Anwendung, in der Sie sie bearbeiten können.

    Die Domaininformationen, die zeigen, wo sich die Domain-URL-Informationen befinden.

  2. Wählen Sie in der vertraulichen App in OCI IAM unter "Ressourcen" die Option OAuth-Konfiguration aus.
  3. Scrollen Sie nach unten, und suchen Sie unter "Allgemeine Informationen" die Client-ID und das Client Secret.
  4. Kopieren und speichern Sie die Client-ID.
  5. Wählen Sie Secret anzeigen aus, und kopieren und speichern Sie das Secret.

    Client-ID und Client Secret

    Das Secret-Token ist die base64-Codierung von <clientID>:<clientsecret> oder
    base64(<clientID>:<clientsecret>)

    Diese Beispiele zeigen, wie das Secret-Token unter Windows, Linux oder MacOS generiert wird.

    Öffnen Sie in einer Windows-Umgebung CMD, und verwenden Sie diesen Powershell-Befehl, um die base64-Codierung zu generieren[Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret'))

    In Linux verwenden Sie
    echo -n <clientID>:<clientsecret> | base64 --wrap=0
    Verwenden Sie unter MacOS
    echo -n <clientID>:<clientsecret> | base64
    Das Secret-Token wird zurückgegeben. Beispiel
    echo -n 392357752347523923457437:3454-9853-7843-3554 | base64
    Nk0NzUyMzcyMzQ1NzMTc0NzUyMzMtNTQzNC05ODc4LTUzNQ==

    Notieren Sie sich den Wert des Secret-Tokens.

3. OCI-Anwendung auf Entra-ID erstellen

Konfigurieren Sie die Entra-ID, damit die Entra-ID der autoritative Identitätsspeicher zur Verwaltung von Identitäten in IAM ist.

  1. Melden Sie sich im Browser über die folgende URL bei der Microsoft Entra-ID an:
    https://portal.azure.com
  2. Wählen Sie Identität und dann "Anwendungen" aus.
  3. Wählen Sie Unternehmensanwendungen aus.

    Unternehmensanwendung hinzufügen

  4. Wählen Sie auf der Seite "Unternehmensanwendungen" die Option Neue Anwendung und dann Oracle aus.
  5. Wählen Sie Oracle Cloud Infrastructure-Konsole aus

    Oracle Cloud Infrastructure-Konsole auswählen

  6. Geben Sie einen Namen ein, oder übernehmen Sie den Standardwert Oracle Cloud Infrastructure-Konsole.
  7. Wählen Sie Erstellen.

    OCI-IAM-Konsolen-App erstellen

  8. Wählen Sie im linken Menü unter "Verwalten" die Option Provisioning wird ausgeführt.

    Provisioning-Seite für die Unternehmensanwendung in Entra-ID

  9. Wählen Sie Erste Schritte aus, und ändern Sie den Provisioning-Modus in Automatisch.
  10. Geben Sie unter Mandanten-URL die OCI IAM-Domain-URL aus 2. Domain-URL suchen und Secret-Token generieren gefolgt von /admin/v1 ein. Die Mandanten-URL lautet also
    https://<domainURL>/admin/v1
  11. Geben Sie das Secret-Token ein, das Sie im Schritt 2. Suchen Sie die Domain-URL, und generieren Sie ein Secret Token generiert haben.

    Administratorzugangsdaten eingeben

  12. Wählen Sie Verbindung testen aus. Wenn diese Meldung angezeigt wird, ist die Verbindung erfolgreich:
    Testing connection to Oracle Cloud Infrastructure Console
    The supplied credentials are authorized to enable provisioning
  13. Wählen Sie im linken Menü unter "Manage" die Option Provisioning, und wählen Sie Start Provisioning. Der Provisioning-Zyklus wird gestartet, und der Status des Provisionings wird angezeigt.
4. Benutzer und Gruppen der Entra-ID-Anwendung zuweisen

Weisen Sie die Benutzer, die Sie für OCI IAM bereitstellen möchten, der Entra-ID-Anwendung zu.

  1. Wählen Sie in Entra ID im linken Menü die Option Unternehmensanwendungen.
  2. Wählen Sie die zuvor erstellte Anwendung Oracle Cloud Infrastructure Console aus.
  3. Wählen Sie im linken Menü unter "Verwalten" die Option Benutzer und Gruppen aus.
  4. Wählen Sie auf der Seite "Benutzer und Gruppen" die Option Benutzer/Gruppe hinzufügen.
  5. Wählen Sie auf der Seite "Zuweisung hinzufügen" links unter "Benutzer und Gruppen" die Option Keine ausgewählt aus.

    Die Seite "Benutzer und Gruppen" wird geöffnet.

  6. Wählen Sie mindestens einen Benutzer oder eine Gruppe in der Liste, indem Sie sie auswählen. Die ausgewählten Benutzer werden unter "Ausgewählte Elemente" aufgeführt.

    Benutzer und Gruppen

  7. Wählen Sie Select. Die Anzahl der ausgewählten Benutzer und Gruppen wird auf der Seite "Zuweisung hinzufügen" angezeigt.

    Die Anzahl der ausgewählten Benutzer und Gruppen wird auf der Seite "Arbeitsstelle hinzufügen" angezeigt.

  8. Wählen Sie auf der Seite "Zuweisung hinzufügen" die Option Zuweisen aus.

    Auf der Seite "Benutzer und Gruppen" werden jetzt die von Ihnen ausgewählten Benutzer und Gruppen angezeigt.

    Die ausgewählten Benutzer und Gruppen werden in der Liste der Benutzer und Gruppen für die App angezeigt.

  9. Wählen Sie im linken Menü die Option {\b Provisioning}, um die Gruppen und Benutzer bereitzustellen. Das Provisioning-Log zeigt den Status an.

    Das Provisioning-Log mit dem Status "Erfolgreich".

  10. Wenn das Provisioning erfolgreich war, zeigt der aktuelle Zyklusstatus an, dass der inkrementelle Zyklus abgeschlossen ist, und die Anzahl der für OCI IAM bereitgestellten Benutzer wird angezeigt.

    Der Status des Provisionings wird zusammen mit der Anzahl der für OCI IAM bereitgestellten Benutzer angezeigt

    In OCI IAM werden jetzt die Benutzer und Gruppen angezeigt, die über die Entra-ID bereitgestellt wurden.

    Die Entra-ID-Benutzer, die jetzt in IAM bereitgestellt werden
    Hinweis

    Wenn Sie Benutzer mit der Entra-ID aus der Oracle Cloud Infrastructure-Konsolenanwendung entfernen, wird der Benutzer nur in OCI IAM deaktiviert.

    Die Entra-ID-Gruppen, die jetzt in IAM bereitgestellt werden

5. Zusätzliche Konfigurationen für föderierte Benutzer
  • Sie können den föderierten Status von Benutzern so festlegen, dass sie vom externen Identitätsprovider authentifiziert werden.
  • Sie können Benachrichtigungs-E-Mails deaktivieren, die an den Benutzer gesendet werden, wenn sein Account erstellt oder aktualisiert wird.
a. Föderationsstatus von Benutzern festlegen

Föderierte Benutzer haben keine Zugangsdaten für die direkte Anmeldung bei OCI. Stattdessen werden sie vom externen Identitätsprovider authentifiziert. Wenn Benutzer ihre Verbundaccounts bei OCI anmelden sollen, setzen Sie das Verbundattribut für diese Benutzer auf "true".

So legen Sie den föderierten Status des Benutzers fest:

  1. Melden Sie sich im Browser über die folgende URL bei der Microsoft Entra-ID an:
    https://portal.azure.com
  2. Wählen Sie Identität und dann "Anwendungen" aus.
  3. Wählen Sie Unternehmensanwendungen aus.
  4. Wählen Sie die zuvor erstellte Anwendung Oracle Cloud Infrastructure Console aus.
  5. Wählen Sie im linken Menü unter "Verwalten" die Option Provisioning wird ausgeführt und dann Provisioning bearbeiten.
  6. Wählen Sie auf der Seite "Provisioning" die Option Zuordnungen aus.
  7. Wählen Sie unter "Zuordnungen" die Option Entra-ID-Benutzer durch Provisioning bereitstellen aus.

  8. Blättern Sie unter "Attributzuordnungen" nach unten, und wählen Sie Neue Zuordnung hinzufügen aus.

    Feld "Neue Zuordnung" unter "Attributzuordnungen" hinzufügen

  9. Auf der Seite "Attribut bearbeiten":
    • Wählen Sie unter Zuordnungstyp die Option Expression aus.
    • Geben Sie unter Ausdruck CBool("true") ein.
    • Wählen Sie unter Zielattribut die Option urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:isFederatedUser aus.

      Attribut bearbeiten (Seite)

  10. Klicken Sie auf Ok.
  11. Wählen Sie auf der Seite "Attributzuordnung" die Option Speichern.

Wenn die Benutzer nun aus der Entra-ID in OCI bereitgestellt werden, wird ihr föderierter Status auf "true" gesetzt. Dies wird auf der Profilseite des Benutzers angezeigt.

  • Navigieren Sie in der OCI-Konsole zu der verwendeten Identitätsdomain, wählen Sie Benutzer aus, und wählen Sie den Benutzer aus, der die Benutzerinformationen anzeigen soll.
  • Föderiert wird als Yes angezeigt.

    Benutzerinformationen, die zeigen, dass der Benutzer föderiert ist

b. Benachrichtigungen für Accounterstellung oder -aktualisierungen deaktivieren

Das Flag für die Umgehungsbenachrichtigung steuert, ob eine E-Mail-Benachrichtigung gesendet wird, nachdem ein Benutzeraccount in OCI erstellt oder aktualisiert wurde. Wenn Sie nicht möchten, dass Benutzer benachrichtigt werden, dass ein Account für sie erstellt wurde, setzen Sie das Kennzeichen "Benachrichtigung umgehen" auf "true".

So legen Sie das Umgehungsbenachrichtigungskennzeichen fest:

  1. Melden Sie sich im Browser über die folgende URL bei der Microsoft Entra-ID an:
    https://portal.azure.com
  2. Wählen Sie Identität und dann "Anwendungen" aus.
  3. Wählen Sie Unternehmensanwendungen aus.
  4. Wählen Sie die zuvor erstellte Anwendung Oracle Cloud Infrastructure Console aus.
  5. Wählen Sie im linken Menü unter "Verwalten" die Option Provisioning wird ausgeführt und dann Provisioning bearbeiten.
  6. Wählen Sie auf der Seite "Provisioning" die Option Zuordnungen aus.
  7. Wählen Sie unter "Zuordnungen" die Option Entra-ID-Benutzer durch Provisioning bereitstellen aus.

    Entra-ID-Benutzer unter Mappings auf der Seite "Provisioning-Modus" bereitstellen

  8. Blättern Sie unter "Attributzuordnungen" nach unten, und wählen Sie Neue Zuordnung hinzufügen aus.

    Feld "Neue Zuordnung" unter "Attributzuordnungen" hinzufügen

  9. Auf der Seite "Attribut bearbeiten":
    • Wählen Sie unter Zuordnungstyp die Option Expression aus.
    • Geben Sie unter Ausdruck CBool("true") ein.
    • Wählen Sie unter Zielattribut die Option urn:ietf:params:scim:schemas:oracle:idcs:extension:user:User:bypassNotification aus.

      Attribut bearbeiten (Seite)

  10. Klicken Sie auf Ok.
  11. Wählen Sie auf der Seite "Attributzuordnung" die Option Speichern.