SSO mit OCI und Okta
In diesem Tutorial richten Sie Single Sign-On zwischen OCI und Okta ein, wobei Okta als Identitätsprovider (IdP) und OCI IAM als Serviceprovider (SP) fungiert.
In diesem 15-minütigen Tutorial erfahren Sie, wie Sie Okta als IdP einrichten, wobei OCI IAM als SP fungiert. Durch das Einrichten der Föderation zwischen Okta und OCI IAM aktivieren Sie den Zugriff von Benutzern auf Services und Anwendungen in OCI IAM mit Benutzerzugangsdaten, die Okta authentifiziert.
- Erfassen Sie zunächst die erforderlichen Informationen von OCI IAM.
- Konfigurieren Sie Okta als IdP für OCI IAM.
- Konfigurieren Sie OCI IAM so, dass Okta als IdP fungiert.
- Erstellen Sie IdP-Policys in OCI IAM.
- Testen Sie, ob die kombinierte Authentifizierung zwischen OCI IAM und Okta funktioniert.
Um eines dieser Tutorials ausführen zu können, benötigen Sie Folgendes:
-
Einen kostenpflichtigenOracle Cloud Infrastructure-(OCI-)Account oder einen OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.
- Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
- Ein Okta-Account mit Administratorberechtigungen zur Konfiguration des Provisionings.
Sie sammeln die zusätzlichen Informationen, die Sie in den Schritten jedes Tutorials benötigen:
- Rufen Sie die OCI-Metadaten IdP und das Signaturzertifikat für die Identitätsdomain ab.
- Rufen Sie das Signaturzertifikat der Identitätsdomain ab.
Sie benötigen die IdP-SAML-Metadaten aus der OCI-IAM-Identitätsdomain, um sie in die von Ihnen erstellte Okta-Anwendung zu importieren. OCI IAM stellt eine direkte URL zum Herunterladen der Metadaten der verwendeten Identitätsdomain bereit. Okta verwendet die OCI-Domain-URL für die Verbindung zu OCI IAM.
-
Öffnen Sie einen unterstützten Browser, und geben Sie die Konsolen-URL ein:
- Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
- Wählen Sie die Identitätsdomain aus, bei der Sie sich anmelden möchten. Dies ist die Identitätsdomain, mit der SSO konfiguriert wird. Beispiel:
Default. - Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
- Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.
- Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie dann auf Sicherheit, Identitätsprovider.
- Klicken Sie auf SAML-Metadaten exportieren.
- Wählen Sie die Option Metadatendatei, und klicken Sie auf XML herunterladen.
- Benennen Sie die heruntergeladene XML-Datei in
OCIMetadata.xmlum. - Kehren Sie zum Überblick über die Identitätsdomain zurück, indem Sie im Navigationspfad auf den Namen der Identitätsdomain klicken. Klicken Sie in den Domaininformationen neben der Domain-URL auf Kopieren, und speichern Sie die URL. Dies ist die OCI IAM-Domain-URL, die Sie später verwenden werden.
Erstellen Sie eine App in Okta, und notieren Sie sich die Werte, die Sie später benötigen.
- Melden Sie sich im Browser über die folgende URL bei Okta an:
https://<OktaOrg>-admin.okta.comDabei ist
<OktaOrg>das Präfix für Ihre Organisation mit Okta. - Klicken Sie im linken Menü auf Sicherheit, und wählen Sie Anwendungen aus. Klicken Sie dann auf App Katalog durchsuchen.
- Suchen Sie nach
Oracle Cloud, und wählen Sie unter den verfügbaren Optionen Oracle Cloud Infrastructure IAM aus. - Klicken Sie auf Integration hinzufügen.
- Geben Sie unter "Allgemeine Einstellungen" einen Namen für die Anwendung ein, z.B.
OCI IAM, und klicken Sie auf Fertig. - Klicken Sie auf der Seite mit den Anwendungsdetails für Ihre neue Anwendung auf die Registerkarte "Anmelden", und klicken Sie unter "SAML-Signaturzertifikate" auf SAML-Setupanweisungen anzeigen.
- Notieren Sie sich auf der Seite "SAML-Setupanweisungen anzeigen" Folgendes:
- Entity-ID
- SingleLogoutService-URL
- SingleSignOnService-URL
- Laden Sie das Zertifikat herunter, und speichern Sie es mit der Dateierweiterung
.pem.
Erstellen Sie in der OCI-Konsole eine IdP für Okta.
- Klicken Sie in der OCI-Konsole in der Domain, in der Sie arbeiten, auf Sicherheit und dann auf Identitätsprovider.
- Klicken Sie auf IdP hinzufügen und dann auf SAML-IdP hinzufügen.
- Geben Sie einen Namen für die SAML IdP ein. Beispiel:
Okta. Klicken Sie Weiter. - Stellen Sie sicher, dass auf der Seite "Exchange-Metadaten" die Option Geben Sie IdP-Metadaten ein ausgewählt ist.
- Geben Sie Folgendes aus Schritt 8 in 2 ein. App in Okta erstellen:
- Aussteller-URI des Identitätsproviders: Geben Sie die ID ein.
- Geben Sie unter SSO-Service-URL die URL SingleSignOnService ein.
- Wählen Sie unter SSO-Service-Binding die Option
POSTaus. - Für Signaturzertifikat des Identitätsproviders hochladen: Verwenden Sie die Datei
.pemder Okta-Zertifizierung.
Stellen Sie weiter unten auf der Seite sicher, dass die Option Globale Abmeldung aktivieren ausgewählt ist, und geben Sie Folgendes ein.
- Geben Sie unter IDP-Abmeldeanforderungs-URL die URL SingleLogoutService ein.
- Für IDP-Abmeldeantwort-URL: eEnter tbhe SingleLogoutService-URL.
- Stellen Sie sicher, dass das Abmelde-Binding auf POST festgelegt ist.
- Klicken Sie Weiter.
- Auf der Seite "Attribute zuordnen":
- Wählen Sie unter Requested NameId format die Option
Email addressaus. - Wählen Sie unter Benutzerattribut des Identitätsproviders die SAML-Assertion-Namens-ID aus.
- Wählen Sie unter Benutzerattribut der Identitätsdomain die primäre E-Mail-Adresse aus.
- Wählen Sie unter Requested NameId format die Option
- Klicken Sie Weiter.
- Prüfen Sie dies, und klicken Sie auf IDP erstellen.
- Klicken Sie auf der Seite "Nächste Schritte" auf Aktivieren und dann auf Zu Policy IdP hinzufügen.
- Klicken Sie auf Standard-Identitätsprovider-Policy, um sie zu öffnen. Klicken Sie dann für die Regel auf das Menü "Aktionen" (
), und klicken Sie auf IdP-Regel bearbeiten. - Klicken Sie auf Identitätsprovider zuweisen und dann auf Okta, um sie der Liste hinzuzufügen.
- Klicken Sie auf Änderungen speichern.
- Laden Sie das SP-Zertifikat herunter:
- Klicken Sie in der OCI-Konsole in der Domain, in der Sie arbeiten, auf Sicherheit und dann auf Identitätsprovider.
- Klicken Sie auf Okta.
- Klicken Sie auf der Okta-Seite IdP auf Serviceprovider-Metadaten.
- Klicken Sie neben dem Serviceprovider-Signaturzertifikat auf Herunterladen, um das SP-Signaturzertifikat herunterzuladen und zu speichern.
- Klicken Sie in der Okta-Konsole auf "Anwendung" und dann auf die neue Anwendung
OCI IAM. - Gehen Sie zur Registerkarte "Sign On", und klicken Sie auf Edit.
- Wählen Sie Single Logout aktivieren aus.
- Navigieren Sie zu dem Zertifikat, das Sie im vorherigen Schritt von der OCI-IAM-Konsole heruntergeladen haben, und klicken Sie auf Hochladen.
- Blättern Sie nach unten zu "Erweiterte Anmeldeeinstellungen".
- Geben Sie Folgendes ein:
- Oracle Cloud Infrastructure-IAM-GUID: Geben Sie die OCI-IAM-Domain-URL aus Schritt 10 in 1 ein. Rufen Sie die OCI-Identitätsprovider-Metadaten und die Domain-URL ab.
- Setzen Sie das Anwendungsbenutzernamensformat auf
Email.
- Klicken Sie auf Speichern.
- Wechseln Sie zur Registerkarte "Zuweisungen", und weisen Sie Benutzer zu, die Zugriff auf diese Anwendung haben sollen.
- Klicken Sie Weiter.
-
Geben Sie die Konsolen-URL ein:
- Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, ein, und klicken Sie auf Weiter.
- Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
- Wählen Sie die Domain aus, für die Sie Okta IdP konfiguriert haben.
- Klicken Sie auf der Anmeldeseite auf das Okta-Symbol.
- Geben Sie Ihre Okta-Zugangsdaten ein. Sie sind bei der OCI-Konsole angemeldet.
Herzlichen Glückwunsch. Sie haben ein SSO zwischen Okta und OCI IAM auf zwei verschiedene Arten erfolgreich eingerichtet.
Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: