IAM-Technologien

Hier erfahren Sie mehr über die Services Software-as-a-Service (SaaS), Data-as-a-Service (DaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS), die in Oracle Cloud verwendet werden.

Oracle Cloud bietet eine Reihe von Cloud-Services.

Anwendungsservices werden in zwei Kategorien eingeteilt:

• Software-as-a-Service (SaaS): Stellt ein Softwarelizenzierungs- und Bereitstellungsmodell bereit, bei dem die Software auf Abonnementbasis lizenziert und zentral gehostet wird.

• Data-as-a-Service (DaaS): Stellt einem Benutzer Daten auf Anforderung bereit, unabhängig von der geografischen oder organisatorischen Trennung von Provider und Consumer.

Plattformservices sind ebenfalls in zwei Kategorien unterteilt:

• Platform-as-a-Service (PaaS): Bietet eine Plattform, mit der Kunden Anwendungen entwickeln, ausführen und verwalten können, ohne dass die Infrastruktur, die normalerweise mit der Entwicklung und Bereitstellung einer Anwendung verbunden ist, erstellt und gewartet werden muss.

• Infrastructure-as-a-Service (IaaS): Bietet Zugriff auf Compute-Ressourcen (d.h. virtualisierte Hardware- und Computing-Infrastruktur) in Oracle Cloud über eine öffentliche Verbindung.

Eine umfassende Liste der verfügbaren Oracle Cloud-Services SaaS, DaaS, PaaS und IaaS finden Sie unter https://www.oracle.com/cloud und über das Oracle Cloud-Menü. Wählen Sie die gewünschte Servicekategorie aus. Auf der daraufhin geöffneten Seite finden Sie Links zu detaillierten Informationen zu den einzelnen Services.

Machen Sie sich mit den Grundkonzepten vertraut, die den in IAM verwendeten SAML-, OAuth- und OpenID Connect-Standards zugrunde liegen.

Security Assertion Markup Language (SAML) unterstützt Authentifizierung und Autorisierung und ist ein offenes Framework für die gemeinsame Nutzung von Sicherheitsinformationen im Internet über XML-Dokumente. SAML umfasst drei Teile:

• SAML-Assertion: Definition von Authentifizierungs- und Autorisierungsinformationen.

• SAML-Protokoll: Die Art und Weise, wie Sie Informationen anfragen (SAML-Anforderung) und die erforderlichen Assertions erhalten (SAML-Antwort).

• SAML-Bindings und -Profile: Die Art und Weise, wie SAML-Assertions auf (Bindings) und in (Profile) branchenüblichen Transport- und Messaging-Frameworks übermittelt werden.

Der von der Oracle Cloud Identity-Infrastruktur bereitgestellte OAuth 2.0-Tokenservice ermöglicht sicheren Zugriff auf die Representational State Transfer-(REST-)Endpunkte von Cloud-Services durch andere Cloud-Services und Benutzeranwendungen.

OAuth 2.0 bietet die folgenden Vorteile:

• Erhöht die Sicherheit, indem die Verwendung von Kennwörtern in Service-to-Service-REST-Interaktionen eliminiert wird.

• Reduziert die Lebenszykluskosten durch die Zentralisierung des Vertrauensmanagements zwischen Clients und Servern. OAuth reduziert die Anzahl der Konfigurationsschritte zum Sichern der Service-to-Service-Kommunikation.

IAM nutzt OpenID Connect und OAuth, um einen hochskalierbaren mehrmandantenfähigen Tokenservice für die Sicherung des programmgesteuerten Zugriffs auf benutzerdefinierte Anwendungen durch andere benutzerdefinierte Anwendungen sowie für föderiertes SSO und Autorisierungsintegration mit diesen Anwendungen bereitzustellen:

• Verwenden Sie OAuth 2.0, um die Autorisierung in IAM für benutzerdefinierte Anwendungen zu definieren. OAuth 2.0 verfügt über ein Autorisierungs-Framework, das häufig für Autorisierungsanforderungen von Drittanbietern mit Zustimmung verwendet wird. Benutzerdefinierte Anwendungen können sowohl zwei- als auch dreibeinige OAuth-Abläufe implementieren.

• Verwenden Sie OpenID Connect, um die Authentifizierung bei IAM für benutzerdefinierte Anwendungen zu externalisieren. OpenID Connect verfügt über ein Authentifizierungsprotokoll, das föderiertes SSO bereitstellt und das OAuth 2.0-Autorisierungs-Framework nutzt, um Identitäten in der Cloud zu föderieren. Benutzerdefinierte Anwendungen nehmen an einem OpenID Connect-Ablauf teil.

Die Verwendung der Standards OAuth 2.0 und OpenID Connect bietet die folgenden Vorteile:

• Föderiertes SSO zwischen der benutzerdefinierten Anwendung und IAM. Ressourceneigentümer (Benutzer, die auf die benutzerdefinierte Anwendung zugreifen) benötigen nur eine Anmeldung für den Zugriff auf IAM und alle integrierten Anwendungen. IAM verarbeitet die Authentifizierung und die Zugangsdaten selbst, sodass benutzerdefinierte Anwendungen isoliert werden. Diese Funktion wird über OpenID Connect mit OAuth 2.0 bereitgestellt.

• Autorisierung zur Ausführung von Vorgängen auf Drittanbieterservern mit Zustimmung. Ressourceneigentümer können zur Laufzeit entscheiden, ob die benutzerdefinierten Anwendungen autorisiert sein sollen, auf Daten zuzugreifen oder Aufgaben für sie auszuführen. Diese Funktion wird von OAuth 2.0 bereitgestellt.

Machen Sie sich mit den Grundkonzepten vertraut, die dem in IAM verwendeten SCIM-Standard zugrunde liegen.

Mit REST-APIs können Sie ein System for Cross-Domain Identity Management (SCIM) verwenden, um Ihre IAM-Ressourcen, einschließlich Identitäten und Konfigurationsdaten, sicher zu verwalten. Diese APIs bieten eine Alternative zur webbasierten Benutzeroberfläche, wenn Sie Identitätsdomains für Ihre eigene UI oder für Clients verwenden möchten.

Sie können Benutzer, Gruppen und Anwendungen verwalten, Identitätsfunktionen und administrative Aufgaben ausführen und Ihre Identitätsdomaineinstellungen verwalten.

IAM stellt SCIM-Vorlagen bereit, mit denen Sie Ihre Anwendungen für Provisioning und Synchronisierung integrieren können.