Oracle Cloud Infrastructure - Dokumentation

SSO zwischen OCI und Microsoft Entra-ID

Konfigurieren Sie in diesem Tutorial SSO zwischen OCI IAM und der Microsoft Entra-ID, und verwenden Sie Entra-ID als Identitätsprovider (IdP).

In diesem 30-minütigen Tutorial erfahren Sie, wie Sie OCI IAM, das als Serviceprovider (SP) fungiert, mit der Entra-ID als IdP integrieren können. Durch das Einrichten der Föderation zwischen Entra-ID und OCI IAM aktivieren Sie den Zugriff von Benutzern auf Services und Anwendungen in OCI mit Benutzerzugangsdaten, mit denen die Entra-ID authentifiziert wird.

In diesem Tutorial wird die Einrichtung der Entra-ID als IdP für OCI IAM erläutert.

  1. Laden Sie zunächst die Metadaten aus der OCI IAM-Identitätsdomain herunter.
  2. Erstellen und konfigurieren Sie in den nächsten Schritten eine App in Entra ID.
  3. Richten Sie in der Entra-ID SSO mit OCI IAM mit den Metadaten ein.
  4. Bearbeiten Sie in der Entra-ID die Attribute und Claims so, dass der E-Mail-Name als ID für Benutzer verwendet wird.
  5. Fügen Sie unter Entra ID einen Benutzer zur App hinzu.
  6. In den nächsten Schritten kehren Sie zur Identitätsdomain zurück, um das Setup abzuschließen. Aktualisieren Sie in configuration.In OCI IAM die Standard-Policy IdP, um die Entra-ID hinzuzufügen.
  7. Testen Sie, ob die föderierte Authentifizierung zwischen OCI IAM und der Entra-ID funktioniert.
Hinweis

Dieses Tutorial ist spezifisch für IAM mit Identitätsdomains.
Bevor Sie beginnen

Um dieses Tutorial ausführen zu können, benötigen Sie Folgendes:

  • Einen kostenpflichtigenOracle Cloud Infrastructure-(OCI-)Account oder einen OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.

  • Administratorrolle der Identitätsdomain für die OCI IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
  • Ein Entra-ID-Konto mit einer der folgenden Entra-ID-Rollen:
    • Globaler Administrator
    • Cloudanwendungsadministrator
    • Anwendungsadministrator
Hinweis

Der Benutzer, der für Single Sign-On (SSO) verwendet wird, muss sowohl in OCI IAM als auch in der Entra-ID vorhanden sein, damit SSO funktioniert. Nachdem Sie dieses SSO-Tutorial abgeschlossen haben, gibt es ein weiteres Tutorial, Identitätslebenszyklusmanagement zwischen OCI IAM und Entra-ID. In diesem anderen Tutorial erfahren Sie, wie Sie Benutzeraccounts von der Entra-ID in OCI IAM oder von OCI IAM in die Entra-ID bereitstellen.
1. Serviceprovider-Metadaten aus OCI IAM abrufen

Sie benötigen die SP-Metadaten aus der OCI IAM-Identitätsdomain, um sie in die von Sie erstellte SAML-Entra-ID-Anwendung zu importieren. OCI IAM stellt eine direkte URL zum Herunterladen der Metadaten der verwendeten Identitätsdomain bereit. Führen Sie die folgenden Schritte für den Download der Metadaten aus:

  1. Öffnen Sie einen unterstützten Browser, und geben Sie die Konsolen-URL ein:

    https://cloud.oracle.com.

  2. Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
  3. Wählen Sie die Identitätsdomain aus, bei der Sie sich anmelden möchten. Dies ist die Identitätsdomain, mit der SSO konfiguriert wird. Beispiel: Default.
  4. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
  5. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identitätssicherheit. Klicken Sie unter Identität auf Domains.
  6. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie anschließend auf Einstellungen und dann auf Domaineinstellungen.
  7. Aktivieren Sie unter "Zugriff auf das Signaturzertifikat" die Option Clientzugriff konfigurieren.

    Auf diese Weise kann ein Client ohne Anmeldung bei der Domain auf die Signaturzertifizierung für die Identitätsdomain zugreifen.

  8. Klicken Sie auf Änderungen speichern.

    Clientzugriff auf der Seite "Domaineinstellungen" konfigurieren

  9. Kehren Sie zum Überblick über die Identitätsdomain zurück, indem Sie im Navigationspfad auf den Namen der Identitätsdomain klicken. Klicken Sie in den Domaininformationen neben der Domain-URL auf Kopieren, und speichern Sie die URL in einer App, in der Sie sie bearbeiten können.

    Die Domaininformationen, die zeigen, wo sich die Domain-URL-Informationen befinden.

  10. Fügen Sie auf einer neuen Browserregisterkarte die kopierte URL ein, und fügen Sie /fed/v1/metadata am Ende hinzu.

    Beispiel:

    https://idcs-<unique_ID>.identity.oraclecloud.com:443/fed/v1/metadata
  11. Die Metadaten für die Identitätsdomain werden im Browser angezeigt. Speichern Sie die Datei als XML-Datei mit dem Namen OCIMetadata.XML.
2. Entra-ID-Enterprise-Anwendung erstellen

Die nächsten Schritte führen Sie in Entra ID aus.

Erstellen Sie eine SAML-Unternehmensanwendung in der Entra-ID.

  1. Melden Sie sich im Browser über die folgende URL bei Microsoft Entra an:
    https://entra.microsoft.com
  2. Klicken Sie auf Identität und dann auf Anwendungen.
  3. Klicken Sie auf Unternehmensanwendungen und dann auf Neue Anwendung.
  4. Geben Sie unter Anwendungen suchen Oracle Cloud Infrastructure Console ein.
  5. Klicken Sie auf die Kachel Oracle Cloud Infrastructure Console by Oracle Corporation.
  6. Geben Sie einen Namen für die App ein, z.B. Oracle IAM, und klicken Sie auf Create.

    Die Unternehmensanwendung wird in der Entra-ID erstellt.

3. Single Sign-On für die Entra-ID-Unternehmensanwendung einrichten

Richten Sie SSO für die Entra-ID-SAML-Anwendung ein, und laden Sie die Entra-ID-SAML-Metadaten herunter. In this section, you use the OCI IAM SP metadata file you saved in 1. Get the Service Provider Metadata from OCI IAM.

  1. Klicken Sie auf der Seite "Getting Started" unter Set up Single Sign on auf Get Started.
  2. Klicken Sie auf SAML und dann auf Upload metadata file (Schaltfläche am oberen Rand der Seite). Navigieren Sie zur XML-Datei mit den Metadaten der OCI-Identitätsdomain, OCIMetadata.xml.
  3. Geben Sie die Anmelde-URL an. Beispiel 
    https://idcs-<domain_ID>.identity.oraclecloud.com/ui/v1/myconsole
  4. Klicken Sie auf Speichern.
  5. Schließen Sie die Seite {\b Upload Metadata File}, indem Sie oben rechts auf {\b X} klicken. Wenn Sie gefragt werden, ob Sie die Anwendung jetzt testen möchten, wählen Sie diese Option nicht aus, da Sie die Anwendung später in diesem Tutorial testen werden.
  6. Scrollen Sie auf der Seite "Setup Single Sign-On with SAML" nach unten, und klicken Sie im SAML-Signaturzertifikat neben Federation Metadata XML auf Download.
  7. Wählen Sie Save File aus, wenn Sie dazu aufgefordert werden. Die Metadaten werden automatisch mit dem Standarddateinamen <your_enterprise_app_name>.xml gespeichert. Beispiel: OracleIAM.xml.

    Die Seite Entra ID SAML-basiertes SSO

4. Attribute und Claims bearbeiten

Bearbeiten Sie die Attribute und Claims in der neuen Entra ID SAML-App, sodass die E-Mail-Adresse des Benutzers als Benutzername verwendet wird.

  1. Klicken Sie in der Unternehmensanwendung im Menü auf der linken Seite auf Single sign-on.
  2. Klicken Sie unter "Attributes and Claims" auf Edit.
  3. Klicken Sie auf den gewünschten Claim. 
    Unique User Identifier (Name ID) = user.mail [nameid-format:emailAddress]
  4. Ändern Sie auf der Seite "Manage claim" das Quellattribut von user.userprinciplename in user.mail.

    Entra-ID-Attribute und -Ansprüche

  5. Klicken Sie auf Speichern.

Zusätzliche Entra-ID-Konfigurationen

In Entra-ID können Sie Gruppen basierend auf dem Gruppennamen oder dem Attribut sAMAccountName filtern.

Beispiel: Es muss nur die Gruppe Administrators mit SAML gesendet werden:

  1. Klicken Sie auf den Gruppenanspruch.
  2. Blenden Sie unter "Gruppenansprüche" die Option Erweiterte Optionen ein.
  3. Wählen Sie Filtergruppen aus.
    • Wählen Sie unter Zu übereinstimmendes Attribut die Option Display Name aus.
    • Wählen Sie unter Abgleichen mit die Option contains aus.
    • Geben Sie unter Zeichenfolge den Namen der Gruppe an. Beispiel: Administrators.

    Filter für Gruppen

Mit dieser Option sendet Entra ID die Administratorengruppe nur in SAML, selbst wenn der Benutzer in der Administratorgruppe zu anderen Gruppen gehört.
Hinweis

Damit können Organisationen nur die erforderlichen Gruppen über die Entra-ID an OCI IAM senden.
5. Testbenutzer zur Entra-ID-Anwendung hinzufügen

Erstellen Sie einen Testbenutzer für die Entra-ID-Anwendung. Später kann sich dieser Benutzer mit seinen Entra-ID-Zugangsdaten bei der OCI-Konsole anmelden.

  1. Klicken Sie im Microsoft Entra-Admin-Center auf Identität, Benutzer, Alle Benutzer.
  2. Klicken Sie auf New User, Create New User, erstellen Sie einen Benutzer, und geben Sie dessen E-Mail-ID ein.
    Hinweis

    Stellen Sie sicher, dass Sie die Details eines in OCI IAM vorhandenen Benutzers mit derselben E-Mail-ID verwenden.
  3. Kehren Sie zum Menü der Enterprise-Anwendung zurück. Klicken Sie unter "Getting Started" auf Assign users and groups. Alternativ können Sie im Menü auf der linken Seite unter "Manage" auf Users klicken.
  4. Wählen Sie Add user/group, und klicken Sie auf der nächsten Seite unter Users auf None Selected.
  5. Klicken Sie auf der Seite "User" auf den erstellten Testbenutzer. Wenn Sie es auswählen, wird der Benutzer unter Selected items angezeigt. Klicken Sie auf Wählen.
  6. Klicken Sie auf der Seite "Add Assignment" auf Assign.
6. Entra-ID als IdP für OCI IAM aktivieren

Bei diesen Schritten arbeiten Sie in OCI IAM.

Fügen Sie die Entra-ID als IdP für OCI IAM hinzu. In diesem Abschnitt verwenden Sie die in 3. gespeicherte Entra-ID-Metadatendatei. Richten Sie Single Sign-On für die Entra-ID-Enterprise-App ein. Beispiel: Oracle IAM.xml.

  1. Klicken Sie in der OCI-Konsole in der Domain, in der Sie arbeiten, auf Sicherheit und dann auf Identitätsprovider.
  2. Klicken Sie auf IdP hinzufügen und dann auf SAML-IdP hinzufügen.
  3. Geben Sie einen Namen für die SAML-IdP ein. Beispiel: Entra ID. Klicken Sie Weiter.
  4. Stellen Sie sicher, dass Identitätsprovider-Metadaten importieren ausgewählt ist, und durchsuchen Sie die Entra-ID-Metadaten-XML-Datei Oracle IAM.xml, und wählen Sie sie aus, oder verschieben Sie sie per Drag-and-Drop in die Identitätsprovider-Metadaten. Dies ist die Metadatendatei, die Sie im Schritt 3 gespeichert haben. Single Sign-On für die Entra ID Enterprise-App einrichten. Klicken Sie Weiter.
  5. Legen Sie unter "Benutzeridentität zuordnen" Folgendes fest:
    • Wählen Sie unter Format für angeforderte NameID die Option Email address aus.
    • Wählen Sie unter Identitätsproviderbenutzerattribut die ID SAML assertion Name aus.
    • Wählen Sie unter Identitätsdomainbenutzerattribut die Option Primary email address aus.

    SAML-Identitätsproviderattribute

  6. Klicken Sie Weiter.
  7. Prüfen Sie unter "Prüfen und erstellen" die Konfigurationen, und klicken Sie auf Erstellen IdP.
  8. Klicken Sie auf Aktivieren.
  9. Klicken Sie auf Zu IdP-Policy-Regel hinzufügen.

  10. Klicken Sie auf Standardidentitätsprovider-Policy, um sie zu öffnen. Klicken Sie auf das Menü Aktionen (Menü "Aktionen"), und klicken Sie auf Regel IdP bearbeiten.

    Das Kontextmenü mit "IdP-Regel bearbeiten"

  11. Klicken Sie auf Identitätsprovider zuweisen und dann auf ID nachbeziehen, um sie der Liste hinzuzufügen.

    Entra-ID als Identitätsprovider in der Standardregel IdP hinzufügen

  12. Klicken Sie auf Änderungen speichern.
7. SSO zwischen Entra-ID und OCI testen
In diesem Abschnitt können Sie testen, ob die kombinierte Authentifizierung zwischen OCI IAM und der Entra-ID funktioniert.
Hinweis

Damit dies funktioniert, muss der für SSO verwendete Benutzer sowohl in OCI IAM als auch in der Entra-ID vorhanden sein. Außerdem muss der Benutzer der in der Entra-ID erstellten OCI IAM-Anwendung zugewiesen sein.

Hierfür gibt es zwei Möglichkeiten:

  • Sie können einen Testbenutzer sowohl in OCI IAM als auch in der Entra-ID manuell erstellen.
  • Wenn Sie jedoch mit einem Echtzeitbenutzer testen möchten, müssen Sie das Provisioning zwischen Entra-ID und OCI IAM einrichten, indem Sie die Schritte im Tutorial Identitätslebenszyklusmanagement zwischen OCI IAM und Entra-ID ausführen.
Wenn Sie keine Benutzer zum Testen dieses Tutorials eingerichtet haben, wird der folgende Fehler angezeigt:
Sorry, but we're having trouble signing you in.
AADSTS50105: Your administrator has configured 
the application application-name ('<unique_ID>')
to block users unless they are specifically granted
('assigned') access to the application.

Testen Sie das vom SP initiierte SSO.

  1. Öffnen Sie einen unterstützten Browser, und geben Sie die OCI-Konsolen-URL ein:

    https://cloud.oracle.com.

  2. Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
  3. Wählen Sie die Identitätsdomain aus, in der die Entra-ID-Föderation konfiguriert wurde.
  4. Auf der Anmeldeseite wird eine Option zur Anmeldung mit der Entra-ID angezeigt.

    OCI IAM-Anmeldeseite

  5. Wählen Sie die Entra-ID aus. Sie werden zur Microsoft-Anmeldeseite umgeleitet.
  6. Geben Sie Ihre Entra-ID-Zugangsdaten an.
  7. Nach erfolgreicher Authentifizierung werden Sie bei der OCI-Konsole angemeldet.
Weitere Schritte

Herzlichen Glückwunsch. Sie haben SSO erfolgreich zwischen Entra-ID und OCI IAM eingerichtet.

Wenn Sie bereits einen Benutzer in der Entra-ID erstellt und der Anwendung zugewiesen hatten, die für OCI IAM bereitgestellt wurde, konnten Sie testen, ob die Föderationsauthentifizierung zwischen OCI IAM und der Entra-ID funktioniert. Andernfalls können Sie einen solchen Benutzer mit einem der Tutorials zum Identitätslebenszyklusmanagement zwischen OCI IAM und Entra-ID erstellen.

Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: