Oracle Cloud Infrastructure - Dokumentation

SSO zwischen OCI und Microsoft Entra ID

In diesem Tutorial konfigurieren Sie SSO zwischen OCI IAM und Microsoft Entra ID mit Entra ID als Identitätsprovider (IdP).

In diesem 30-minütigen Tutorial erfahren Sie, wie Sie OCI IAM, das als Serviceprovider (SP) fungiert, mit der Entra-ID als IdP integrieren können. Durch die Einrichtung der Föderation zwischen Entra ID und OCI IAM ermöglichen Sie Benutzern den Zugriff auf Services und Anwendungen in OCI mit Benutzerzugangsdaten, die Entra ID authentifiziert.

In diesem Tutorial wird die Einrichtung der Entra-ID als IdP für OCI IAM erläutert.

  1. Laden Sie zunächst die Metadaten aus der OCI IAM-Identitätsdomain herunter.
  2. Erstellen und konfigurieren Sie in den nächsten Schritten eine App in Entra ID.
  3. Richten Sie in der Entra-ID SSO mit OCI IAM mit den Metadaten ein.
  4. Bearbeiten Sie in der Entra-ID die Attribute und Claims so, dass der E-Mail-Name als ID für Benutzer verwendet wird.
  5. Fügen Sie unter Entra ID einen Benutzer zur App hinzu.
  6. Für die nächsten Schritte kehren Sie zur Identitätsdomain zurück, um das Setup abzuschließen, und configuration.In OCI IAM aktualisieren Sie die Standard-Policy IdP, um die Entra-ID hinzuzufügen.
  7. Testen Sie, ob die föderierte Authentifizierung zwischen OCI IAM und Entra ID funktioniert.
Hinweis

Dieses Tutorial ist spezifisch für IAM mit Identitätsdomains.
Bevor Sie beginnen

Um dieses Tutorial ausführen zu können, benötigen Sie Folgendes:

  • Ein kostenpflichtiger Oracle Cloud Infrastructure-(OCI-)Account oder ein OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.

  • Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
  • Ein Entra-ID-Konto mit einer der folgenden Entra-ID-Rollen:
    • Globaler Administrator
    • Cloudanwendungsadministrator
    • Anwendungsadministrator
Hinweis

Der Benutzer, der für Single Sign On (SSO) verwendet wird, muss sowohl in OCI IAM als auch in der Entra-ID vorhanden sein, damit SSO funktioniert. Nachdem Sie dieses SSO-Tutorial abgeschlossen haben, gibt es ein anderes Tutorial, Identitätslebenszyklusmanagement zwischen OCI IAM und Entra-ID. In diesem anderen Tutorial erfahren Sie, wie Sie Benutzeraccounts von Entra ID zu OCI IAM oder von OCI IAM zu Entra ID bereitstellen.
1. Serviceprovider-Metadaten aus OCI IAM abrufen

Sie benötigen die SP-Metadaten aus der OCI-IAM-Identitätsdomain, um sie in die von Ihnen erstellte SAML-Entra-ID-Anwendung zu importieren. OCI IAM stellt eine direkte URL zum Herunterladen der Metadaten der verwendeten Identitätsdomain bereit. Führen Sie die folgenden Schritte für den Download der Metadaten aus:

  1. Öffnen Sie einen unterstützten Browser, und geben Sie die Konsolen-URL ein:

    https://cloud.oracle.com.

  2. Geben Sie Ihren Cloud-Accountnamen (auch als Mandantenname bezeichnet) ein, und wählen Sie Weiter aus.
  3. Wählen Sie die Identitätsdomain aus, bei der Sie sich anmelden möchten. Dies ist die Identitätsdomain, mit der SSO konfiguriert wird. Beispiel: Default.
  4. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
  5. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  6. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie anschließend auf Einstellungen und dann auf Domaineinstellungen.
  7. Aktivieren Sie unter "Zugriff auf das Signaturzertifikat" die Option Clientzugriff konfigurieren.

    Auf diese Weise kann ein Client ohne Anmeldung bei der Domain auf die Signaturzertifizierung für die Identitätsdomain zugreifen.

  8. Wählen Sie Speichern aus.

    Clientzugriff auf der Seite "Domaineinstellungen" konfigurieren

  9. Kehren Sie zum Überblick über die Identitätsdomain zurück, indem Sie den Identitätsdomainnamen im Navigationspfad auswählen. Wählen Sie Kopieren neben der Domain-URL in den Domaininformationen aus, und speichern Sie die URL in einer Anwendung, in der Sie sie bearbeiten können.

    Die Domaininformationen, die zeigen, wo sich die Domain-URL-Informationen befinden.

  10. Fügen Sie auf einer neuen Browserregisterkarte die kopierte URL ein, und fügen Sie /fed/v1/metadata am Ende hinzu.

    Beispiel:

    https://idcs-<unique_ID>.identity.oraclecloud.com:443/fed/v1/metadata
  11. Die Metadaten für die Identitätsdomain werden im Browser angezeigt. Speichern Sie die Datei als XML-Datei mit dem Namen OCIMetadata.XML.
2. Entra-ID-Enterprise-Anwendung erstellen

Die nächsten Schritte führen Sie in Entra ID aus.

Erstellen Sie eine SAML-Unternehmensanwendung in der Entra-ID.

  1. Melden Sie sich im Browser über die folgende URL bei Microsoft Entra an:
    https://entra.microsoft.com
  2. Wählen Sie Identität und dann Anwendungen aus.
  3. Wählen Sie Unternehmensanwendungen und dann Neue Anwendung.
  4. Geben Sie unter Anwendungen suchen Oracle Cloud Infrastructure Console ein.
  5. Wählen Sie die Kachel Oracle Cloud Infrastructure-Konsole nach Oracle Corporation aus.
  6. Geben Sie einen Namen für die App ein, z.B. Oracle IAM, und wählen Sie Create aus.

    Die Unternehmensanwendung wird in der Entra-ID erstellt.

3. Single Sign-On für die Entra-ID-Unternehmensanwendung einrichten

Richten Sie SSO für die SAML-Anwendung für die Entra-ID ein, und laden Sie die SAML-Metadaten für die Entra-ID herunter. In diesem Abschnitt verwenden Sie die OCI-IAM-SP-Metadatendatei, die Sie in 1 gespeichert haben. Rufen Sie die Serviceprovider-Metadaten aus OCI IAM ab.

  1. Wählen Sie auf der Seite für die ersten Schritte unter Single Sign-On einrichten die Option Get started.
  2. Wählen Sie SAML und dann Metadatendatei hochladen (Schaltfläche oben auf der Seite). Navigieren Sie zur XML-Datei mit den OCI-Identitätsdomainmetadaten OCIMetadata.xml.
  3. Geben Sie die Anmelde-URL an. Beispiel 
    https://idcs-<domain_ID>.identity.oraclecloud.com/ui/v1/myconsole
  4. Wählen Sie Speichern aus.
  5. Schließen Sie die Seite {\b Upload Metadata File}, indem Sie oben rechts auf {\b X} klicken. Wenn Sie gefragt werden, ob Sie die Anwendung jetzt testen möchten, wählen Sie diese Option nicht aus, da Sie die Anwendung später in diesem Tutorial testen werden.
  6. Scrollen Sie auf der Seite "Setup Single Sign-On mit SAML" nach unten, und wählen Sie im SAML-Signaturzertifikat neben Federation Metadata XML die Option Download aus.
  7. Wählen Sie Save File aus, wenn Sie dazu aufgefordert werden. Die Metadaten werden automatisch mit dem Standarddateinamen <your_enterprise_app_name>.xml gespeichert. Beispiel: OracleIAM.xml.

    Die SAML-basierte SSO-Seite der Entra-ID

4. Attribute und Claims bearbeiten

Bearbeiten Sie die Attribute und Claims in der neuen Entra ID SAML-App, sodass die E-Mail-Adresse des Benutzers als Benutzername verwendet wird.

  1. Wählen Sie in der Unternehmensanwendung im Menü auf der linken Seite die Option Single sign-on.
  2. Wählen Sie unter "Attributes and Claims" die Option Edit.
  3. Wählen Sie den gewünschten Claim aus: 
    Unique User Identifier (Name ID) = user.mail [nameid-format:emailAddress]
  4. Ändern Sie auf der Seite "Manage claim" das Quellattribut von user.userprinciplename in user.mail.

    Entra-ID-Attribute und Ansprüche

  5. Wählen Sie Speichern aus.

Zusätzliche Entra-ID-Konfigurationen

In Entra-ID können Sie Gruppen basierend auf dem Gruppennamen oder dem Attribut sAMAccountName filtern.

Beispiel: Es muss nur die Gruppe Administrators mit SAML gesendet werden:

  1. Wählen Sie den Gruppenanspruch aus.
  2. Blenden Sie unter "Gruppenansprüche" die Option Erweiterte Optionen ein.
  3. Wählen Sie Filtergruppen aus.
    • Wählen Sie unter Zu übereinstimmendes Attribut die Option Display Name aus.
    • Wählen Sie unter Abgleichen mit die Option contains aus.
    • Geben Sie unter Zeichenfolge den Namen der Gruppe an. Beispiel: Administrators.

    Filter für Gruppen

Mit dieser Option sendet Entra ID die Administratorengruppe nur in SAML, selbst wenn der Benutzer in der Administratorgruppe zu anderen Gruppen gehört.
Hinweis

Dadurch können Organisationen nur die erforderlichen Gruppen aus der Entra-ID an OCI IAM senden.
5. Testbenutzer zur Entra-ID-Anwendung hinzufügen

Erstellen Sie einen Testbenutzer für die Entra-ID-Anwendung. Später kann sich dieser Benutzer mit seinen Entra-ID-Zugangsdaten bei der OCI-Konsole anmelden.

  1. Wählen Sie im Microsoft Entra-Admin-Center Identität, Benutzer, Alle Benutzer aus.
  2. Wählen Sie New User, Create new User, erstellen Sie einen Benutzer, und geben Sie seine E-Mail-ID ein.
    Hinweis

    Stellen Sie sicher, dass Sie die Details eines in OCI IAM vorhandenen Benutzers mit derselben E-Mail-ID verwenden.
  3. Kehren Sie zum Menü der Unternehmensanwendung zurück. Wählen Sie in den ersten Schritten Benutzer und Gruppen zuweisen aus. Alternativ wählen Sie im Menü auf der linken Seite unter "Manage" die Option Users.
  4. Wählen Sie Benutzer/Gruppe hinzufügen aus, und wählen Sie auf der nächsten Seite unter "Benutzer" die Option Keine ausgewählt aus.
  5. Wählen Sie auf der Seite "Users" den erstellten Testbenutzer. Wenn Sie es auswählen, wird der Benutzer unter Selected items angezeigt. Wählen Sie Select.
  6. Wählen Sie auf der Seite "Add Zuweisung" die Option Zuweisen aus.
6. Entra-ID als IdP für OCI IAM aktivieren

Bei diesen Schritten arbeiten Sie in OCI IAM.

Fügen Sie die Entra-ID als IdP für OCI IAM hinzu. In diesem Abschnitt verwenden Sie die Metadatendatei für die Entra-ID, die Sie in 3 gespeichert haben. Richten Sie Single Sign-On für die Entra ID Enterprise App ein, z.B. Oracle IAM.xml.

  1. Wählen Sie in der OCI-Konsole in der Domain, in der Sie arbeiten, Sicherheit und dann Identitätsprovider aus.
  2. Wählen Sie IdP hinzufügen und dann SAML IdP hinzufügen aus.
  3. Geben Sie einen Namen für die SAML-IdP ein. Beispiel: Entra ID. Wählen Sie Weiter aus.
  4. Stellen Sie sicher, dass Identitätsprovider-Metadaten importieren ausgewählt ist, und durchsuchen und wählen Sie die Entra-ID-Metadaten-XML-Datei Oracle IAM.xml per Drag-and-Drop in die Identitätsprovider-Metadaten aus. Dies ist die Metadatendatei, die Sie im Schritt 3 gespeichert haben. Single Sign-On für die Entra ID Enterprise-App einrichten. Wählen Sie Weiter aus.
  5. Legen Sie unter "Benutzeridentität zuordnen" Folgendes fest:
    • Wählen Sie unter Format für angeforderte NameID die Option Email address aus.
    • Wählen Sie unter Identitätsproviderbenutzerattribut die ID SAML assertion Name aus.
    • Wählen Sie unter Identitätsdomainbenutzerattribut die Option Primary email address aus.

    SAML-Identitätsproviderattribute

  6. Wählen Sie Weiter aus.
  7. Prüfen Sie unter "Prüfen und erstellen" die Konfigurationen, und wählen Sie IdP erstellen aus.
  8. Wählen Sie Aktivieren aus.
  9. Wählen Sie Zu IdP-Policy-Regel hinzufügen aus.

  10. Wählen Sie Standardidentitätsprovider-Policy aus, um sie zu öffnen. Wählen Sie das Menü Aktionen (drei Punkte) aus, und wählen Sie Regel IdP bearbeiten aus.

    Das Kontextmenü mit "IdP-Regel bearbeiten"

  11. Wählen Sie Identitätsprovider zuweisen aus, und wählen Sie Entra-ID aus, um sie der Liste hinzuzufügen.

    Entra-ID als Identitätsprovider in der Standardregel IdP hinzufügen

  12. Wählen Sie Änderungen speichern aus.
7. SSO zwischen Entra-ID und OCI testen
In diesem Abschnitt können Sie testen, ob die föderierte Authentifizierung zwischen OCI IAM und Entra ID funktioniert.
Hinweis

Damit dies funktioniert, muss der für SSO verwendete Benutzer sowohl in OCI IAM als auch in der Entra-ID vorhanden sein. Außerdem muss der Benutzer der in der Entra-ID erstellten OCI IAM-Anwendung zugewiesen sein.

Hierfür gibt es zwei Möglichkeiten:

  • Sie können einen Testbenutzer sowohl in OCI IAM als auch in der Entra-ID manuell erstellen.
  • Wenn Sie jedoch mit einem Echtzeitbenutzer testen möchten, müssen Sie das Provisioning zwischen Entra ID und OCI IAM einrichten, indem Sie die Schritte im Tutorial Identity Lifecycle Management zwischen OCI IAM und Entra ID befolgen.
Wenn Sie keine Benutzer zum Testen dieses Tutorials eingerichtet haben, wird der folgende Fehler angezeigt:
Sorry, but we're having trouble signing you in.
AADSTS50105: Your administrator has configured 
the application application-name ('<unique_ID>')
to block users unless they are specifically granted
('assigned') access to the application.

Testen Sie das vom SP initiierte SSO.

  1. Öffnen Sie einen unterstützten Browser, und geben Sie die OCI-Konsolen-URL ein:

    https://cloud.oracle.com.

  2. Geben Sie Ihren Cloud-Accountnamen (auch als Mandantenname bezeichnet) ein, und wählen Sie Weiter aus.
  3. Wählen Sie die Identitätsdomain aus, in der die Entra-ID-Föderation konfiguriert wurde.
  4. Auf der Anmeldeseite wird eine Option zur Anmeldung mit der Entra-ID angezeigt.

    OCI IAM-Anmeldeseite

  5. Wählen Sie die Entra-ID aus. Sie werden zur Microsoft-Anmeldeseite umgeleitet.
  6. Geben Sie Ihre Entra-ID-Zugangsdaten an.
  7. Nach erfolgreicher Authentifizierung werden Sie bei der OCI-Konsole angemeldet.
Weitere Schritte

Herzlichen Glückwunsch. Sie haben SSO zwischen Entra ID und OCI IAM erfolgreich eingerichtet.

Wenn Sie bereits einen Benutzer in der Entra-ID erstellt und der für OCI IAM bereitgestellten Anwendung zugewiesen hatten, konnten Sie testen, ob die Föderationsauthentifizierung zwischen OCI IAM und Entra-ID funktioniert. Andernfalls können Sie einen solchen Benutzer mit einem der Tutorials zum Identitätslebenszyklusmanagement zwischen OCI IAM und Entra-ID erstellen.

Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: