SSO mit OCI und Okta
In diesem Tutorial richten Sie Single Sign-On zwischen OCI und Okta ein, wobei Okta als Identitätsprovider (IdP) und OCI IAM als Serviceprovider (SP) fungiert.
In diesem 15-minütigen Tutorial erfahren Sie, wie Sie Okta als IdP einrichten, wobei OCI IAM als SP fungiert. Durch das Einrichten der Föderation zwischen Okta und OCI IAM aktivieren Sie den Zugriff von Benutzern auf Services und Anwendungen in OCI IAM mit Benutzerzugangsdaten, die Okta authentifiziert.
- Erfassen Sie zunächst die erforderlichen Informationen von OCI IAM.
- Konfigurieren Sie Okta als IdP für OCI IAM.
- Konfigurieren Sie OCI IAM so, dass Okta als IdP fungiert.
- Erstellen Sie IdP-Policys in OCI IAM.
- Testen Sie, ob die kombinierte Authentifizierung zwischen OCI IAM und Okta funktioniert.
Um eines dieser Tutorials ausführen zu können, benötigen Sie Folgendes:
-
Ein kostenpflichtiger Oracle Cloud Infrastructure-(OCI-)Account oder ein OCI-Testaccount. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.
- Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Informationen hierzu finden Sie unter Administratorrollen.
- Ein Okta-Account mit Administratorberechtigungen zur Konfiguration des Provisionings.
Sie sammeln die zusätzlichen Informationen, die Sie in den Schritten jedes Tutorials benötigen:
- Rufen Sie die OCI-Metadaten IdP und das Signaturzertifikat für die Identitätsdomain ab.
- Rufen Sie das Signaturzertifikat der Identitätsdomain ab.
Sie benötigen die IdP-SAML-Metadaten aus der OCI-IAM-Identitätsdomain, um sie in die von Ihnen erstellte Okta-Anwendung zu importieren. OCI IAM stellt eine direkte URL zum Herunterladen der Metadaten der verwendeten Identitätsdomain bereit. Okta verwendet die OCI-Domain-URL für die Verbindung zu OCI IAM.
-
Öffnen Sie einen unterstützten Browser, und geben Sie die Konsolen-URL ein:
- Geben Sie Ihren Cloud-Accountnamen (auch als Mandantenname bezeichnet) ein, und wählen Sie Weiter aus.
- Wählen Sie die Identitätsdomain aus, bei der Sie sich anmelden möchten. Dies ist die Identitätsdomain, mit der SSO konfiguriert wird. Beispiel:
Default
. - Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
- Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
- Wählen Sie den Namen der Identitätsdomain aus, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie anschließend auf Sicherheit und dann auf Identitätsprovider.
- Wählen Sie SAML-Metadaten exportieren aus.
- Wählen Sie die Option Metadatendatei und dann XML herunterladen aus.
- Benennen Sie die heruntergeladene XML-Datei in
OCIMetadata.xml
um. - Kehren Sie zum Überblick über die Identitätsdomain zurück, indem Sie den Identitätsdomainnamen im Navigationspfad auswählen. Wählen Sie Kopieren neben der Domain-URL in den Domaininformationen aus, und speichern Sie die URL. Dies ist die OCI IAM-Domain-URL, die Sie später verwenden werden.
Erstellen Sie eine App in Okta, und notieren Sie sich die Werte, die Sie später benötigen.
- Melden Sie sich im Browser über die folgende URL bei Okta an:
https://<OktaOrg>-admin.okta.com
Dabei ist
<OktaOrg>
das Präfix für Ihre Organisation mit Okta. - Wählen Sie im linken Menü die Option Sicherheit, Anwendungen und dann App durchsuchenKatalog.
- Suchen Sie nach
Oracle Cloud
, und wählen Sie unter den verfügbaren Optionen Oracle Cloud Infrastructure IAM aus. - Wählen Sie Integration hinzufügen aus.
- Geben Sie unter "Allgemeine Einstellungen" einen Namen für die Anwendung ein, z.B.
OCI IAM
, und wählen Sie Fertig aus. - Wählen Sie auf der Seite mit den Anwendungsdetails für die neue Anwendung die Registerkarte "Anmelden" aus, und wählen Sie unter "SAML-Signaturzertifikate" die Option SAML-Setupanweisungen anzeigen aus.
- Notieren Sie sich auf der Seite "SAML-Setupanweisungen anzeigen" Folgendes:
- Entity-ID
- SingleLogoutService-URL
- SingleSignOnService-URL
- Laden Sie das Zertifikat herunter, und speichern Sie es mit der Dateierweiterung
.pem
.
Erstellen Sie in der OCI-Konsole eine IdP für Okta.
- Wählen Sie in der OCI-Konsole in der Domain, in der Sie arbeiten, Sicherheit und dann Identitätsprovider aus.
- Wählen Sie IdP hinzufügen und dann SAML IdP hinzufügen aus.
- Geben Sie einen Namen für den SAML-IdP ein. Beispiel:
Okta
. Wählen Sie Weiter aus. - Stellen Sie sicher, dass auf der Seite "Exchange-Metadaten" die Option Geben Sie IdP-Metadaten ein ausgewählt ist.
- Geben Sie Folgendes aus Schritt 8 in 2 ein. App in Okta erstellen:
- Aussteller-URI des Identitätsproviders: Geben Sie die ID ein.
- Geben Sie unter SSO-Service-URL die URL SingleSignOnService ein.
- Wählen Sie unter SSO-Service-Binding die Option
POST
aus. - Für Signaturzertifikat des Identitätsproviders hochladen: Verwenden Sie die Datei
.pem
der Okta-Zertifizierung.
Stellen Sie weiter unten auf der Seite sicher, dass die Option Globale Abmeldung aktivieren ausgewählt ist, und geben Sie Folgendes ein.
- Geben Sie unter IDP-Abmeldeanforderungs-URL die URL SingleLogoutService ein.
- Für IDP-Abmeldeantwort-URL: eEnter tbhe SingleLogoutService-URL.
- Stellen Sie sicher, dass das Abmelde-Binding auf POST festgelegt ist.
- Wählen Sie Weiter aus.
- Auf der Seite "Attribute zuordnen":
- Wählen Sie unter Requested NameId format die Option
Email address
aus. - Wählen Sie unter Benutzerattribut des Identitätsproviders die SAML-Assertion-Namens-ID aus.
- Wählen Sie unter Benutzerattribut der Identitätsdomain die primäre E-Mail-Adresse aus.
- Wählen Sie unter Requested NameId format die Option
- Wählen Sie Weiter aus.
- Prüfen Sie den IDP, und wählen Sie IDP erstellen aus.
- Wählen Sie auf der Seite "Was kommt als Nächstes" die Option Aktivieren und dann Zu IdP-Policy hinzufügen aus.
- Wählen Sie Standardidentitätsprovider-Policy aus, um sie zu öffnen, und wählen Sie das Menü für die Regel aus, und wählen Sie IdP-Regel bearbeiten aus.
- Wählen Sie unter Identitätsprovider zuweisen die Option Okta aus, um sie der Liste hinzuzufügen.
- Wählen Sie Speichern aus.
- Laden Sie das SP-Zertifikat herunter:
- Wählen Sie in der OCI-Konsole in der Domain, in der Sie arbeiten, Sicherheit und dann Identitätsprovider aus.
- Wählen Sie Okta aus.
- Wählen Sie auf der Okta-Seite IdP die Option Serviceprovider-Metadaten aus.
- Wählen Sie neben dem Serviceprovider-Signaturzertifikat die Option Herunterladen aus, um das SP-Signaturzertifikat herunterzuladen und zu speichern.
- Wählen Sie in der Okta-Konsole die Option "Anwendung" und dann die neue Anwendung
OCI IAM
aus. - Navigieren Sie zur Registerkarte "Sign On", und wählen Sie Edit aus.
- Wählen Sie Single Logout aktivieren aus.
- Navigieren Sie zu dem Zertifikat, das Sie im vorherigen Schritt von der OCI-IAM-Konsole heruntergeladen haben, und wählen Sie Hochladen aus.
- Blättern Sie nach unten zu "Erweiterte Anmeldeeinstellungen".
- Geben Sie Folgendes ein:
- Oracle Cloud Infrastructure-IAM-GUID: Geben Sie die OCI-IAM-Domain-URL aus Schritt 10 in 1 ein. Rufen Sie die OCI-Identitätsprovider-Metadaten und die Domain-URL ab.
- Setzen Sie das Anwendungsbenutzernamensformat auf
Email
.
- Wählen Sie Speichern aus.
- Wechseln Sie zur Registerkarte "Zuweisungen", und weisen Sie Benutzer zu, die Zugriff auf diese Anwendung haben sollen.
- Wählen Sie Weiter aus.
-
Geben Sie die Konsolen-URL ein:
- Geben Sie Ihren Cloud-Accountnamen (auch als Mandantenname bezeichnet) ein, und wählen Sie Weiter aus.
- Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.
- Wählen Sie die Domain aus, für die Sie Okta IdP konfiguriert haben.
- Wählen Sie auf der Anmeldeseite das Okta-Symbol aus.
- Geben Sie Ihre Okta-Zugangsdaten ein. Sie sind bei der OCI-Konsole angemeldet.
Herzlichen Glückwunsch. Sie haben ein SSO zwischen Okta und OCI IAM auf zwei verschiedene Arten erfolgreich eingerichtet.
Weitere Informationen zur Entwicklung mit Oracle-Produkten finden Sie auf folgenden Websites: