Oracle Cloud Infrastructure - Dokumentation

SSO mit OCI und Okta

In diesem Tutorial richten Sie Single Sign-On zwischen OCI und Okta ein, wobei Okta als Identitätsprovider (IdP) und OCI IAM als Serviceprovider (SP) fungiert.

In diesem 15-minütigen Tutorial erfahren Sie, wie Sie Okta als IdP einrichten, wobei OCI IAM als SP fungiert. Durch das Einrichten der Föderation zwischen Okta und OCI IAM aktivieren Sie den Zugriff von Benutzern auf Services und Anwendungen in OCI IAM mit Benutzerzugangsdaten, die von Okta authentifiziert werden.

  1. Erfassen Sie zunächst die Informationen, die von OCI IAM benötigt werden.
  2. Konfigurieren Sie Okta als IdP für OCI IAM.
  3. Konfigurieren Sie OCI IAM, sodass Okta als IdP fungiert.
  4. Erstellen Sie IdP-Policys in OCI IAM.
  5. Testen Sie, ob die föderierte Authentifizierung zwischen OCI IAM und Okta funktioniert.
Bevor Sie beginnen

Um eines dieser Tutorials ausführen zu können, müssen Sie über Folgendes verfügen:

  • Ein kostenpflichtiger Oracle Cloud Infrastructure-(OCI-)Account oder ein OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.

  • Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
  • Ein Okta-Account mit Administratorberechtigungen zur Konfiguration der Bereitstellung.

Sie sammeln die zusätzlichen Informationen, die Sie benötigen, aus den Schritten der einzelnen Tutorials:

  • Rufen Sie die OCI-IdP-Metadaten und das Signaturzertifikat für die Identitätsdomain ab.
  • Ruft das Signaturzertifikat der Identitätsdomain ab.
1. OCI-Identitätsprovider-Metadaten und Domain-URL abrufen

Sie benötigen die SAML-Metadaten IdP aus Ihrer OCI-IAM-Identitätsdomain, um sie in die von Ihnen erstellten Okta-Anwendungen zu importieren. OCI IAM stellt eine direkte URL zum Herunterladen der Metadaten der verwendeten Identitätsdomain bereit. Okta verwendet die OCI-Domain-URL, um eine Verbindung zu OCI IAM herzustellen.

  1. Öffnen Sie einen unterstützten Browser, und geben Sie die Konsolen-URL an:

    https://cloud.oracle.com .

  2. Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, und wählen Sie Weiter aus.
  3. Wählen Sie die Identitätsdomain aus, bei der Sie sich anmelden möchten. Dies ist die Identitätsdomain, mit der SSO konfiguriert wird. Beispiel: Default.
  4. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
  5. Öffnen sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  6. Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie anschließend auf Sicherheit, Identitätsprovider.
  7. Wählen Sie SAML-Metadaten exportieren aus.

    SAML-Metadaten herunterladen

  8. Wählen Sie die Option Metadatendatei, und wählen Sie XML herunterladen.

    XML-Datei herunterladen

  9. Benennen Sie die heruntergeladene XML-Datei in OCIMetadata.xml um.
  10. Kehren sie zum Überblick über die Identitätsdomain wieder zurück, indem sie den Identitätsdomainnamen im Navigationspfad auswählen. Wählen Sie Kopieren neben der Domain-URL in den Domaininformationen aus, und speichern sie die URL. Dies ist die OCI-IAM-Domain-URL, die Sie später verwenden werden.

    Die Domaininformationen, die zeigen, wo sich die Domain-URL-Informationen befinden.

2. App in Okta erstellen

Erstellen Sie eine App in Okta, und notieren Sie sich die Werte, die Sie später benötigen.

  1. Melden Sie sich im Browser mit der folgenden URL bei Okta an:
    https://<OktaOrg>-admin.okta.com

    wobei <OktaOrg> das Präfix für Ihre Organisation mit Okta ist.

  2. Wählen Sie im linken Menü die Option Sicherheit aus, und wählen Sie Anwendungen und dann App durchsuchen Katalog aus.
  3. Suchen Sie nach Oracle Cloud, und wählen Sie unter den verfügbaren Optionen Oracle Cloud Infrastructure IAM aus.
  4. Wählen Sie Integration hinzufügen aus.
  5. Geben Sie unter "Allgemeine Einstellungen" einen Namen für die Anwendung ein, z.B. OCI IAM, und wählen Sie Fertig.
  6. Wählen Sie auf der Detailseite der Anwendung für Ihre neue Anwendung die Registerkarte "Anmelden" aus, und wählen Sie unter "SAML-Signaturzertifikate" die Option SAML-Setupanweisungen anzeigen aus.
  7. Notieren Sie sich auf der Seite "SAML-Setupanweisungen anzeigen" Folgendes:
    • Entity-ID
    • SingleLogoutService-URL
    • SingleSignOnService-URL
  8. Laden Sie das Zertifikat herunter, und speichern Sie es mit der Dateierweiterung .pem.
3. Okta als IdP in OCI IAM erstellen

Erstellen Sie eine IdP für Okta in der OCI-Konsole.

  1. Wählen Sie Sicherheit, Identitätsprovider aus der OCI-Konsole der Domain, in dem Sie arbeiten.
  2. Wählen Sie IdP hinzufügen, SAML IdP hinzufügen aus.
  3. Geben Sie einen Namen für die SAML IdP ein. Beispiel: Okta. Wählen Sie Weiter.
  4. Stellen Sie auf der Seite "Exchange-Metadaten" sicher, dass IdP-Metadaten eingeben ausgewählt ist.
  5. Enter the following from step 8 in 2. Create an App in Okta:
    • Für Identitätsprovider-Aussteller-URI: Geben Sie die eingegebene ID ein.
    • SSO-Service-URL: Geben Sie die SingleSignOnService-URL ein.
    • Für SSO-Service-Binding: Wählen Sie POST aus.
    • Für Identitätsprovider-Signaturzertifikat hochladen: Verwenden Sie die Datei .pem der Okta-Zertifizierung.

      Seite "Metadaten austauschen" für SAML-Identitätsprovider erstellen

    Stellen Sie weiter unten auf der Seite sicher, dass Globale Abmeldung aktivieren ausgewählt ist, und geben Sie Folgendes ein.

    • URL für IDP-Abmeldeanforderung: Geben Sie die URL SingleLogoutService ein.
    • Für IDP-Abmeldeantwort-URL: eEnter mit der URL SingleLogoutService.
    • Stellen Sie sicher, dass das Abmelde-Binding auf POST gesetzt ist.

      zusätzliche Konfiguration

  6. Wählen Sie Weiter.
  7. Auf der Seite "Attribute zuordnen":
    • Wählen Sie unter Angefordertes NameId-Format die Option Email address aus.
    • Für Identitätsprovider-Benutzerattribut: Wählen Sie die SAML-Assertion-Namens-ID aus.
    • Für Identitätsdomainbenutzerattribut: Wählen Sie die primäre E-Mail-Adresse aus.
  8. Wählen Sie Weiter.
  9. Prüfen und wählen Sie IDP erstellen aus.
  10. Wählen Sie auf der Seite "Was kommt als Nächstes" die Option Aktivieren und dann Zu Policy IdP hinzufügen aus.
  11. Wählen Sie Standardidentitätsprovider-Policy aus, um sie zu öffnen, und wählen Sie das Menü Aktionen (drei Punkte) für die Regel aus, und wählen Sie IdP-Regel bearbeiten aus.
  12. Wählen Sie unter Identitätsprovider zuweisen die Option Okta aus, um sie der Liste hinzuzufügen.
  13. Wählen Sie Änderungen speichern aus.
  14. SP-Zertifikat herunterladen:
    • Wählen Sie Sicherheit, Identitätsprovider aus der OCI-Konsole der Domain, in dem Sie arbeiten.
    • Wählen Sie Okta.
    • Wählen Sie auf der Okta-Seite IdP die Option Serviceprovider-Metadaten aus.
    • Wählen Sie Herunterladen neben dem Serviceprovider-Signaturzertifikat aus, um das SP-Signaturzertifikat herunterzuladen und zu speichern.
4. Okta konfigurieren
  1. Wählen Sie in der Okta-Konsole "Anwendung" und dann die neue Anwendung OCI IAM aus.
  2. Gehen Sie zur Registerkarte "Sign On", und wählen Sie Edit aus.
  3. Wählen Sie Single Log-out aktivieren aus.
  4. Navigieren Sie zu dem Zertifikat, das Sie im vorherigen Schritt von der OCI-IAM-Konsole heruntergeladen haben, und wählen Sie Hochladen aus.
  5. Blättern Sie nach unten zu "Erweiterte Anmeldeeinstellungen".
  6. Geben Sie Folgendes ein:
  7. Wählen Sie Speichern aus.
  8. Wechseln Sie zur Registerkarte "Zuweisungen", und weisen Sie Benutzern zu, die auf diese Anwendung zugreifen möchten.
  9. Wählen Sie Weiter.
5. Single Sign-on testen

  1. Geben Sie die Konsolen-URL ein:

    https://cloud.oracle.com

  2. Geben Sie Ihren Cloud-Accountnamen, auch als Mandantenname bezeichnet, und wählen Sie Weiter aus.
  3. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
  4. Wählen Sie die Domain aus, für die Sie Okta IdP konfiguriert haben.
  5. Wählen Sie auf der Anmeldeseite das Okta-Symbol.
  6. Geben Sie Ihre Okta-Zugangsdaten ein. Sie sind bei der OCI-Konsole angemeldet.
Weitere Schritte

Herzlichen Glückwunsch. Sie haben erfolgreich ein SSO zwischen Okta und OCI IAM auf zwei verschiedene Arten eingerichtet.

Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: