Oracle Cloud Infrastructure-Dokumentation

Integration mit Microsoft Entra ID

Voraussetzungen

Bevor Sie ein orchestriertes Microsoft Entra ID-System installieren und konfigurieren, müssen Sie die folgenden Voraussetzungen und Aufgaben berücksichtigen.

Zertifizierte Komponenten

Das Microsoft Entra ID-System kann eines der folgenden sein:

Zertifizierte Komponenten
Komponententyp Komponente
System
  • Microsoft Entra-ID
  • Microsoft Entra ID mit Business-to-Consumer (B2C) aktiviertem Mandanten
System-API-Version
  • Microsoft Entra-ID
  • Microsoft Graph-API v1.0
  • Microsoft-Authentifizierungs-API-Version v2.0 (OAuth 2.0)

Unterstützte Modi

Das orchestrierte Microsoft Entra ID-System unterstützt die folgenden Modi:

  • Autoritative Quelle
  • Verwaltete Systeme

Unterstützte Operationen

Das orchestrierte Microsoft Entra ID-System unterstützt die folgenden Vorgänge für die Microsoft Entra ID:
  • Benutzer erstellen
  • Benutzer löschen
  • Kennwort zurücksetzen
  • Rollen zu Benutzern zuweisen
  • Rollen einem Benutzer entziehen
  • Lizenzen einem Benutzer zuweisen
  • Lizenzen von einem Benutzer entfernen
  • SecurityGroup einem Benutzer zuweisen
  • SecurityGroup aus einem Benutzer entfernen
  • OfficeGroup einem Benutzer zuweisen
  • OfficeGroup aus einem Benutzer entfernen

Unterstützte Standardattribute

Das orchestrierte Microsoft Entra ID-System unterstützt die folgenden Standardattribute. Diese Attribute werden je nach Verbindungsrichtung zugeordnet. Beispiel:
  • Daten, die von Oracle Access Governance von Microsoft Entra ID aufgenommen werden: User.givenName wird Identity.firstName zugeordnet
  • Daten, die in Microsoft Entra ID aus Oracle Access Governance bereitgestellt werden: account.lastName wird User.surname zugeordnet
Standardattribute - Autoritative Quelle
Microsoft Entra ID/Microsoft Entra ID B2C-aktivierte Mandantenentität Attributname auf verwaltetem System Oracle Access Governance - Identitätsattributname Anzeigename für Oracle Access Governance-Identitätsattribut
Benutzer ID UID Eindeutige ID
mailNickname Name Benutzername des Mitarbeiters
userPrincipalName E-Mail E-Mail
givenName firstName Vorname
Nachname lastName Nachname
displayName displayName Name
usageLocation usageLocation Ortsname
Manager managerLogin Manager
preferredLanguage preferredLanguage Bevorzugte Sprache
accountEnabled Status Status
Zusätzliche Attribute für B2C-fähigen Mandanten Identitäten identities.issuerAssignedId Identitäten
Identitäten identities.signInType Anmeldetyp
Identitäten identities.issuer Aussteller
passwordPolicies passwordPolicy Kennwort-Policy
Standardattribute - Verwaltetes System
Microsoft Entra ID/Microsoft Entra ID B2C-aktivierte Mandantenentität Attributname auf verwaltetem System Oracle Access Governance-Accountattributname Oracle Access Governance-Accountattribut - Anzeigename
Benutzer ID UID Eindeutige ID
userPrincipalName Name Benutzeranmeldung
givenName firstName Vorname
Nachname lastName Nachname
displayName displayName Name
mailNickname mailNickname E-Mail-Kurzname
E-Mails E-Mail E-Mail
usageLocation usageLocation Verwendungsposition
Ort Ort Ort
Land Land Land
Manager managerLogin Manager
passwordProfile.forceChangePasswordNextSignIn forceChangePasswordNextSignIn Kennwort bei nächster Anmeldung ändern
preferredLanguage preferredLanguage Bevorzugte Sprache
userType userType Mitarbeitertyp
accountEnabled Status Status
Kennwort Kennwort Kennwort
Zusätzliche Attribute für B2C-fähigen Mandanten
identities.issuerAssignedId issuerAssignedId Vom Aussteller zugewiesene ID
identities.signInType signInType Anmeldetyp
identities.issuer Aussteller Aussteller
passwordPolicies passwordPolicy Kennwort-Policy
Lizenzen Lizenzen als Berechtigung

Konfiguration und Einstellungen für Microsoft Enterprise-Anwendungen

Bevor Sie eine Verbindung herstellen können, müssen Sie die folgenden Aufgaben in Ihrem Microsoft Entra ID Admin Center für die Enterprise-Anwendung ausführen:
  1. Erstellen und registrieren Sie eine Unternehmensanwendung, die Sie in Oracle Access Governance integrieren möchten. Weitere Informationen finden Sie in der Microsoft-Dokumentation.
  2. Client Secret für die Anwendung generieren
  3. Erteilen Sie die folgenden delegierten Berechtigungen und Anwendungsberechtigungen für die Microsoft Graph-API:

    Delegierte Berechtigung

    • Directory.ReadWrite.All
    • Group.ReadWrite.All
    • GroupMember.ReadWrite.All
    • User.Read
    • User.ReadWrite

    Anwendungsberechtigung

    • Directory.ReadWrite.All
    • Group.ReadWrite.All
    • GroupMember.ReadWrite.All
    • User.ReadWrite.All
    • RoleManagement.ReadWrite.Directory
  4. Klicken Sie auf die Schaltfläche Admin-Einwilligung erteilen, um verzeichnisweite vollständige Berechtigungen zur Ausführung der zugehörigen API-Aufgaben für ein integriertes System bereitzustellen

Weitere Informationen finden Sie in der Microsoft-Dokumentation.

Standardabgleichsregeln

Um Accounts Identitäten in Oracle Access Governance zuzuordnen, benötigen Sie eine Vergleichsregel für jede orchestrierte system.The-Standardabgleichsregel für das orchestrierte Microsoft Entra ID-System:

Standardabgleichsregeln
Modus Standardabgleichsregel
Autoritative Herkunft

Der Identitätsabgleich prüft, ob eingehende Identitäten mit einer vorhandenen Identität übereinstimmen oder neu sind.

Für Microsoft Entra ID/für Microsoft Entra ID B2C-fähigen Mandanten:

Bildschirmwert:

User login = Email

Attributname:

Account.userPrincipalName = Identity.name

Verwaltetes Systeme

Beim Kontenabgleich wird geprüft, ob eingehende Konten mit vorhandenen Identitäten übereinstimmen.

Für Microsoft Entra-ID:

Bildschirmwert:

User login = Email

Attributname:

Account.userPrincipalName = Identity.name

Für Microsoft Entra ID B2C-fähigen Mandanten:

Bildschirmwert:

Email = Email

Attributname:

Account.mail = Identity.email

Konfigurieren

Sie können eine Verbindung zwischen Microsoft Entra ID (früher Azure Active Directory) und Oracle Access Governance herstellen, indem Sie Verbindungsdetails eingeben. Verwenden Sie dazu die in der Oracle Access Governance-Konsole verfügbare orchestrierte Systemfunktionalität.

Zur Seite "Orchestrierte Systeme" navigieren

Navigieren Sie zur Seite "Orchestrierte Systeme" der Oracle Access Governance-Konsole, indem Sie die folgenden Schritte ausführen:
  1. Wählen Sie im Oracle Access Governance-Navigationsmenü symbol Navigationsmenü die Option Serviceadministration → Orchestrierte Systeme aus.
  2. Wählen Sie die Schaltfläche Orchestriertes System hinzufügen, um den Workflow zu starten.

System auswählen

Im Schritt System auswählen des Workflows können Sie angeben, welcher Systemtyp integriert werden soll. Mit dem Feld Suchen können Sie das erforderliche System nach Namen suchen.

  1. Wählen Sie Microsoft Entra-ID aus.
  2. Klicken Sie auf Weiter.

Details eingeben

Geben Sie im Schritt Details hinzufügen des Workflows die Details für das orchestrierte System ein:
  1. Geben Sie im Feld Name einen Namen für das System ein, mit dem Sie eine Verbindung herstellen möchten.
  2. Geben Sie eine Beschreibung für das System in das Feld Beschreibung ein.
  3. Entscheiden Sie, ob dieses orchestrierte System eine zuverlässige Quelle ist und ob Oracle Access Governance Berechtigungen verwalten kann, indem Sie die folgenden Kontrollkästchen aktivieren.
    • Das ist die autoritative Quelle für meine Identitäten

      Wählen Sie unter folgenden Optionen:

      • Quelle der Identitäten und ihrer Attribute: Das System fungiert als Quellidentitäten und zugehörige Attribute. Mit dieser Option werden neue Identitäten erstellt.
      • Nur Quelle von Identitätsattributen: Das System nimmt zusätzliche Details zu Identitätsattributen auf und gilt für vorhandene Identitäten. Mit dieser Option werden keine neuen Identitätsdatensätze aufgenommen oder erstellt.
    • Ich möchte Berechtigungen für dieses System verwalten
    Der Standardwert in jedem Fall ist Nicht ausgewählt.
  4. Wählen Sie Weiter.
Hinweis

Mit dem orchestrierten Microsoft Entra ID-System können Sie Gruppen in der Microsoft Entra ID mit der Option Ich möchte Identitäts-Collections für dieses orchestrierte System verwalten verwalten. Wenn dieses Kontrollkästchen aktiviert ist, können Sie Microsoft Entra-ID-Gruppen in Oracle Access Governance verwalten. Alle an Microsoft Entra ID-Gruppen vorgenommenen Änderungen werden zwischen Oracle Access Governance und dem orchestrierten System abgestimmt. Ebenso werden alle in der Microsoft Entra-ID vorgenommenen Änderungen in Oracle Access Governance widergespiegelt

Eigentümer hinzufügen

Sie können Ressourcenverantwortung zuordnen, indem Sie primäre und zusätzliche Verantwortliche hinzufügen. Dies steuert Self-Service, da diese Eigentümer dann die Ressourcen verwalten (lesen, aktualisieren oder löschen) können, deren Eigentümer sie sind. Standardmäßig wird der Ressourcenersteller als Ressourceneigentümer angegeben. Sie können einen primären Verantwortlichen und bis zu 20 zusätzliche Verantwortliche für die Ressourcen zuweisen.
Hinweis

Wenn Sie das erste orchestrierte System für Ihre Serviceinstanz einrichten, können Sie Eigentümer erst zuweisen, nachdem Sie die Identitäten im Abschnitt Identitäten verwalten aktiviert haben.
So fügen Sie Eigentümer hinzu:
  1. Wählen Sie im Feld Wer ist der primäre Eigentümer? einen aktiven Oracle Access Governance-Benutzer als primären Eigentümer aus.
  2. Wählen Sie einen oder mehrere zusätzliche Eigentümer in der Liste Wer ist Eigentümer? aus. Sie können bis zu 20 zusätzliche Eigentümer für die Ressource hinzufügen.
Sie können den primären Eigentümer in der Liste anzeigen. Alle Verantwortlichen können die Ressourcen anzeigen und verwalten, für die sie verantwortlich sind.

Accounteinstellungen

Geben Sie im Schritt Accounteinstellungen des Workflows ein, wie Oracle Access Governance Accounts verwalten soll, wenn das System als verwaltetes System konfiguriert ist:
  1. Wenn eine Berechtigung angefordert wird und das Konto noch nicht vorhanden ist, wählen Sie diese Option aus, um neue Konten zu erstellen. Diese Option ist standardmäßig aktiviert. Wenn diese Option ausgewählt ist, erstellt Oracle Access Governance einen Account, wenn kein Account vorhanden ist, wenn eine Berechtigung angefordert wird. Wenn Sie diese Option deaktivieren, werden Berechtigungen nur für vorhandene Konten im orchestrierten System bereitgestellt. Wenn kein Account vorhanden ist, verläuft der Provisioning-Vorgang nicht erfolgreich.
  2. Wählen Sie die Empfänger für Benachrichtigungs-E-Mails aus, wenn ein Account erstellt wird. Der Standardempfänger ist Benutzer. Wenn keine Empfänger ausgewählt sind, werden keine Benachrichtigungen gesendet, wenn Accounts erstellt werden.
    • Benutzer
    • Benutzermanager
  3. Vorhandene Accounts konfigurieren
    Hinweis

    Sie können diese Konfigurationen nur festlegen, wenn dies vom Systemadministrator zulässig ist. Wenn die Einstellungen für die globale Accountbeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Accountbeendigung nicht auf der orchestrierten Systemebene verwalten.
    1. Wählen Sie aus, was mit Konten zu tun ist, wenn die vorzeitige Beendigung beginnt: Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn eine vorzeitige Beendigung beginnt. Dies geschieht, wenn Sie Identitätszugriffe vor dem offiziellen Austrittsdatum widerrufen müssen.
      • Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion nicht unterstützt, wird keine Aktion ausgeführt.
      • Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
        • Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
      • Keine Aktion: Wenn eine Identität von Oracle Access Governance zur vorzeitigen Beendigung gekennzeichnet wird, wird keine Aktion ausgeführt.
    2. Wählen Sie aus, was mit Konten am Austrittsdatum zu tun ist: Wählen Sie die Aktion aus, die während des offiziellen Austritts ausgeführt werden soll. Dies geschieht, wenn Sie Identitätszugriffe am offiziellen Austrittsdatum widerrufen müssen.
      • Löschen: Löscht alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion Löschen nicht unterstützt, wird keine Aktion ausgeführt.
      • Deaktivieren: Deaktiviert alle Konten und deaktiviert Berechtigungen, die von Oracle Access Governance verwaltet werden.
        • Berechtigungen für deaktivierte Konten löschen: Um einen Restzugriff von Null sicherzustellen, wählen Sie diese Option aus, um direkt zugewiesene Berechtigungen und Policy-berechtigte Berechtigungen bei der Kontodeaktivierung zu löschen.
        Hinweis

        Wenn ein bestimmtes orchestriertes System die Aktion Deaktivieren nicht unterstützt, wird der Account gelöscht.
      • Keine Aktion: Für Accounts und Berechtigungen von Oracle Access Governance wird keine Aktion ausgeführt.
  4. Wenn eine Identität Ihr Unternehmen verlässt, müssen Sie den Zugriff auf ihre Accounts entfernen.
    Hinweis

    Sie können diese Konfigurationen nur festlegen, wenn dies von Ihrem Systemadministrator zulässig ist. Wenn die globalen Einstellungen für die Kontobeendigung aktiviert sind, können Anwendungsadministratoren die Einstellungen für die Kontobeendigung nicht auf der orchestrierten Systemebene verwalten.

    Wählen Sie eine der folgenden Aktionen für den Account aus:

    • Löschen: Löschen Sie alle Accounts und Berechtigungen, die von Oracle Access Governance verwaltet werden.
    • Deaktivieren: Deaktivieren Sie alle Accounts, und markieren Sie Berechtigungen als inaktiv.
      • Berechtigungen für deaktivierte Konten löschen: Löschen Sie direkt zugewiesene und durch Richtlinien erteilte Berechtigungen bei der Kontodeaktivierung, um einen verbleibenden Zugriff zu verhindern.
    • Keine Aktion: Keine Aktion ausführen, wenn eine Identität die Organisation verlässt.
    Hinweis

    Diese Aktionen sind nur verfügbar, wenn sie vom orchestrierten Systemtyp unterstützt werden. Beispiel: Wenn Löschen nicht unterstützt wird, werden nur die Optionen Deaktivieren und Keine Aktion angezeigt.
  5. Wenn alle Berechtigungen für einen Account entfernt werden, z.B. wenn eine Identität zwischen Abteilungen verschoben wird, müssen Sie möglicherweise entscheiden, was mit dem Account zu tun ist. Wählen Sie eine der folgenden Aktionen aus, sofern dies vom orchestrierten Systemtyp unterstützt wird:
    • Löschen
    • Deaktivieren
    • Keine Aktion
  6. Accounts verwalten, die nicht von Access Governance erstellt wurden: Wählen Sie diese Option aus, um Accounts zu verwalten, die direkt im orchestrierten System erstellt werden. Damit können Sie vorhandene Accounts abstimmen und über Oracle Access Governance verwalten.
Hinweis

Wenn Sie das System nicht als verwaltetes System konfigurieren, wird dieser Schritt im Workflow angezeigt, ist jedoch nicht aktiviert. In diesem Fall fahren Sie direkt mit dem Schritt Integrationseinstellungen des Workflows fort.
Hinweis

Wenn Ihr orchestriertes System eine dynamische Schema-Discovery erfordert, wie bei den generischen Integrationen für REST- und Datenbankanwendungstabellen, kann beim Erstellen des orchestrierten Systems nur das Benachrichtigungs-E-Mail-Ziel (Benutzer, Benutzer) festgelegt werden. Sie können die Deaktivierungs-/Löschregeln für Mover und Abgänger nicht festlegen. Dazu müssen Sie das orchestrierte System erstellen und dann die Accounteinstellungen aktualisieren, wie unter Einstellungen für orchestrierte Systemaccounts konfigurieren beschrieben.

Integrationseinstellungen

Geben Sie im Schritt Integrationseinstellungen des Workflows die Konfigurationsdetails ein, die erforderlich sind, damit Oracle Access Governance eine Verbindung zu Microsoft Entra ID herstellen kann.

  1. Geben Sie im Feld Host den Hostnamen des Rechners ein, auf dem das verwaltete System gehostet wird. Beispiel: Für die Microsoft Graph-API können Sie graph.microsoft.com eingeben
  2. Geben Sie im Feld Port die Portnummer ein, auf die das System zugreifen kann. Standardmäßig verwendet Microsoft Entra ID Port 443.
  3. Geben Sie im Feld Authentifizierungsserver-URL die URL des Authentifizierungsservers an, der die Client-ID und die Client Secret für Ihr Managed System validiert. Beispiel: Um die Anwendung mit der API OAuth 2.0 zu authentifizieren, geben Sie die folgende Syntax ein: 
    https://login.microsoftonline.com/<Primary Domain or Directory(tenant ID)>/oauth2/v2.0/token
    Informationen zum Abrufen Ihrer primären Domain- oder Mandanten-ID finden Sie in der Microsoft-Dokumentation.
  4. Geben Sie im Feld Client-ID die Client-ID (eine eindeutige Zeichenfolge) ein, die der Autorisierungsserver während des Registrierungsprozesses an Ihr Clientsystem abgibt. Die Client-ID, auch Anwendungs-ID genannt, wird bei der Registrierung einer Anwendung in Microsoft Entra ID abgerufen. Dieser Wert identifiziert Ihre Anwendung in der Microsoft-Identitätsplattform. Weitere Informationen finden Sie in der Microsoft-Dokumentation.
  5. Geben Sie im Feld Client Secret den Wert der Secret-ID ein, um die Identität Ihres Systems zu authentifizieren. Sie müssen ein neues Client Secret für Ihr System erstellen und den Wert in dieses Feld eingeben. Verwenden Sie diesen Wert nur, wenn Sie keinen Private Key für die Authentifizierung verwenden.
    Hinweis

    Sie müssen diesen Client Secret-Wert notieren oder kopieren, da Sie ihn nach dem Verlassen der Seite weder aufrufen noch anzeigen können.
    Weitere Informationen finden Sie in der Microsoft-Dokumentation.
  6. Geben Sie den PEM-Private Key nur dann in das Feld Private Key ein, wenn Sie das Client Secret nicht zur Authentifizierung verwenden.

    Nur zu Testzwecken können Sie ein selbstsigniertes Zertifikat mit den folgenden Schritten generieren:

    1. Erstellen Sie einen verschlüsselten Private Key, den Sie in die Entra-ID-Instanz laden.
      openssl req -x509 -newkey rsa:2048 -keyout encrypted_key.pem -out cert.cer -sha256 -days 365
    2. Entschlüsseln Sie den Private Key, um eine PEM-Datei (decrypted_key.pem im Beispiel) zu erstellen, die Sie beim Konfigurieren von Oracle Access Governance als Wert für den Private Key eingeben können.
      openssl rsa -in encrypted_key.pem -out decrypted_key.pem
    3. Wenn Ihr Private Key optional das Format PKCS1 aufweist, konvertieren Sie den entschlüsselten Schlüssel für das Format PKCS8, das in Oracle Access Governance unterstützt wird.
      openssl pkcs8 -topk8 -inform PEM -outform PEM -nocrypt -in decrypted_key.pem -out pkcs8.key
  7. Geben Sie den Wert für den Zertifikat-Fingerprint (X509) im Zertifikat-Fingerprint nur ein, wenn Sie das Client Secret nicht zur Authentifizierung verwenden. .

    Um den Zertifikats-Fingerprint zu erhalten, gehen Sie wie folgt vor:

    1. Konvertieren Sie den Hexadezimalwert des Zertifikat-Thumbprints in "Binär".
      echo -n "***353DB6DF03567473E299DB5E7F4C***" | xxd -r -p > thumbprint.bin
    2. Konvertieren Sie den Binär-Thumbprint in base64, der im Feld Zertifikat-Fingerprint verwendet werden kann.
      openssl base64 -in thumbprint.bin -out thumbprint_base64.txt
  8. Aktivieren Sie das Kontrollkästchen Ist diese mandantenfähige Umgebung B2C?, um Identitätsattribute (Aussteller, Anmeldetyp, Aussteller-ID) für jeden Benutzer aufzunehmen. Wenn eines der Identitätsattribute null oder leer zurückgegeben wird, überspringt Oracle Access Governance den Dataload für diesen Benutzer und nimmt den Benutzer nicht auf.
  9. Geben Sie im Feld Was ist der Anforderungstimeout? die maximale Wartezeit ein, bis ein Server auf eine Anforderung antwortet.
  10. Klicken Sie auf Hinzufügen, um das orchestrierte System zu erstellen.

Fertigstellen

Schließlich haben Sie die Wahl, ob Sie das orchestrierte System weiter konfigurieren möchten, bevor Sie einen Dataload ausführen, oder ob Sie die Standardkonfiguration akzeptieren und einen Dataload initiieren. Wählen Sie eine aus:
  • Anpassen und dann das System für Dataloads aktivieren
  • Aktivieren und die Dataload mit den bereitgestellten Standardwerten vorbereiten

Nach Konfiguration

Einem Microsoft Entra ID-System sind keine Postinstall-Schritte zugeordnet.