Oracle Cloud Infrastructure-Dokumentation

Mit Microsoft Azure Active Directory für Oracle US Government Cloud über Identity Domains föderieren

Erfahren Sie, wie Sie mit Microsoft Azure Active Directory in der Oracle US Government Cloud mit Identitätsdomains föderieren können.

Unternehmensorganisationen verwenden typischerweise einen Identitätsprovider (IdP) zur Verwaltung von Benutzeranmeldungen und Kennwörtern sowie zur Authentifizierung von Benutzern für den Zugriff auf sichere Websites, Services und Ressourcen. Weitere Informationen finden Sie unter Mit Identitätsprovidern föderieren. Sie können Ihre bevorzugte IdP, wie z.B. Azure Active Directory (AD), Okta oder ein anderes IdPs, verwenden und mit Autorisierung des FedRAMP High Joint Authorization mit Oracle Cloud Infrastructure föderieren.

Das Föderieren in der US Government Cloud ähnelt dem Föderieren in der Commercial Cloud, es sei denn, es gibt einige Unterschiede bei der Ausführungsreihenfolge einiger Schritte. Weitere Informationen zum Föderationsprozess in der Commercial Cloud finden Sie unter Mit Microsoft Active Directory föderieren.

Identity and Access Management (IAM) verwendet Identitätsdomains, um Identitäts- und Zugriffsmanagementfeatures wie Authentifizierung, Single Sign-on (SSO) und Identitätslebenszyklusmanagement für Oracle Cloud Infrastructure sowie für Oracle- und Nicht-Oracle-Anwendungen (SaaS, in der Cloud gehostet oder On Premise) bereitzustellen. Sie können mehrere Identitätsdomains für verschiedene Umgebungen erstellen, z.B. für Entwicklung und Produktion. Sie können Identitätsdomains auch für verbraucherorientierte Anwendungen verwenden und Verbraucherbenutzern Selbstregistrierung und soziale Anmeldung ermöglichen.

Hinweis

Informationen zu vorhandenen OCI-Mandanten ohne Identitätsdomains finden Sie unter OCI US Government Cloud-Föderation mit Microsoft Azure AD.

Voraussetzungen

  • Ein US Government Cloud-Tenancy mit Identitätsdomains.

  • Ein Azure AD-Account mit Benutzern und Gruppen.

Aufgabe 1: Microsoft Azure-Portal

  1. Klicken Sie im Azure-Portal auf Enterprise Applications, und wählen Sie New Application aus.

  2. Wählen Sie Oracle Cloud und anschließend Oracle Cloud Infrastructure Console aus.

  3. Geben Sie einen Namen an, und klicken Sie auf Create.

  4. Wählen Sie auf der Seite Getting Started die Option Set up Single sign on und dann SAML aus. Dadurch wird die Seite geöffnet, auf der Sie Single Sign-On mit SAML einrichten.

  5. Klicken Sie im Abschnitt SAML Certificates auf Edit.

    Hinweis

    Die Oracle-Serviceprovider-Metadaten sind in der US Government Cloud standardmäßig nicht für den Upload in Azure verfügbar. Sie müssen das vorhandene SAML-Zertifikat verwenden, das in Azure IdP verfügbar ist.

  6. Klicken Sie auf das Menü Aktionen (drei Punkte), und wählen Sie XML für föderiertes Zertifikat herunterladen aus, wie im folgenden Bildschirmfoto dargestellt.

    SAML-Signaturzertifikat herunterladen.

  7. Generieren Sie im Azure-Portal auf der Single-Sign-On-Seite im Bereich Oracle die Serviceprovider-Metadaten, und fahren Sie mit dem nächsten Schritt fort.

  8. Nachdem die Metadaten generiert wurden, wählen Sie Metadaten-Datei hochladen aus, und klicken Sie auf Hinzufügen, wie im folgenden Screenshot gezeigt.

    Serviceprovider-Metadaten hochladen.

  9. Wählen Sie nach dem Hochladen der Metadaten die Option Basic SAML Configuration aus, und geben Sie die Anmelde-URL für die Konsole ein. Beispiel: Die Anmelde-URL für die Konsole der Region US Gov East (Ashburn) lautet https://console.us-langley-1.oraclegovcloud.com/. Weitere Informationen finden Sie unter Anmelde-URLs für die Konsole. Klicken Sie auf Speichern.

  10. Laden Sie im Abschnitt AML certificates die Föderationsmetadaten-XML-Datei herunter, und speichern Sie sie.

Aufgabe 2: Oracle Cloud Infrastructure-Konsole

  1. Öffnen Sie in der Konsole das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Domains.

  2. Klicken Sie auf den Namen der Identitätsdomain (z.B. Standard), in die Benutzer aus Azure AD föderieren sollen. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden.

  3. Wählen Sie Sicherheit und dann Identitätsprovider aus.

  4. Klicken Sie auf IdP hinzufügen und dann auf SAML IdP hinzufügen.

  5. Geben Sie Name, Beschreibung und ID-Providersymbol ein. Klicken Sie dann auf Weiter.

  6. Verschieben Sie die XML-Datei per Drag-and-Drop auf der Seite IdP konfigurieren, um die Metadaten hochzuladen, oder klicken Sie auf Eine auswählen, um nach der Metadatendatei zu suchen, welche Sie in Schritt 6 von Aufgabe 1: Microsoft Azure Portal heruntergeladen haben. Klicken Sie auf Weiter.

    Hinweis

    Wenn Sie die neue IdP-SAML bereits generiert haben, müssen Sie die XML-Datei aus Schritt 9 von Aufgabe 1: Microsoft Azure Portal verwenden

    Der Abschnitt Attribute zuordnen dient zum Zuordnen der vom IdP erhaltenen Identitätsattribute von Benutzern zu einer Identitätsdomain und ist optional. Diese Optionen variieren je nach IdP.

  7. Klicken Sie auf IdP erstellen.

    Hinweis

    Wenn Sie Azure IdP bereits mit Serviceprovider-Metadaten erstellt haben, überspringen Sie die Schritte 8 bis 10, und fahren Sie dann mit Schritt 11 fort.

  8. Klicken Sie im Abschnitt SAML-Identitätsprovider hinzufügen unter Serviceprovider-Metadaten auf Download, wie im folgenden Screenshot gezeigt. Dies sind die Metadaten, die Sie zum Importieren in Azure AD verwenden.

    Serviceprovider-Metadaten herunterladen.

  9. Don't test or activate the IdP at this point, because you'll delete and then re-create the IdP with the correct Azure metadata XML file, using the process described in steps 1-8. Klicken Sie auf Abbrechen, um den Setupprozess zu beenden, und klicken Sie dann auf das Aktionsmenü (drei Punkte). Klicken Sie auf Deaktivieren, um den IdP zu deaktivieren, und klicken Sie dann auf Löschen.

  10. Wechseln Sie zu Schritt 8 von Aufgabe 1: Microsoft Azure-Portal, und beenden Sie die IdP-Einrichtung mit den korrekten Serviceprovider-Metadaten, die Sie in Schritt 8 dieses Verfahrens generiert haben.

  11. Klicken Sie auf der Seite Export auf Weiter und dann auf der Seite SAML-Identitätsprovider hinzufügen erneut auf Weiter.

  12. Klicken Sie auf Aktivieren, um die IdP wie im folgenden Screenshot gezeigt zu aktivieren, und klicken Sie dann auf Fertigstellen.

    IdP aktivieren.

  13. Klicken Sie auf der Standardseite für Identitätsprovider auf IdP-Policys, wie im folgenden Screenshot gezeigt, um der Policy Identitätsprovider zuzuweisen.

    IdP aktivieren.

  14. Wählen Sie den Namen der IdP-Policy aus, der Sie einen IdP zuweisen möchten. Beispiel: Standard-IdP-Policy.

  15. Klicken Sie unter Ressourcen auf Identitätsproviderregeln.

  16. Klicken Sie für die Regel, zu der Sie die IdP zuweisen möchten, auf das Menü Aktionen (drei Punkte), und klicken Sie dann auf IdP-Regel bearbeiten. Weisen Sie dann den erstellten IdP-Provider zu, wie im folgenden Bildschirmfoto gezeigt.

    Identitätsprovider zuweisen.

Das Föderieren ist jetzt abgeschlossen. Wenn Sie sich abmelden und erneut anmelden möchten, sollte der Name des Identitätsproviders angezeigt werden, in diesem Fall Azure-AD, wie im folgenden Screenshot gezeigt. Klicken Sie auf den Namen, um mit der Seite für die föderierte Anmeldung fortzufahren.

Seite für föderierte Anmeldung.

Ressourcen

Die US Government Cloud besitzt die FedRAMP High JAB P-ATO-Zertifizierung, ebenso wie alle in diesen Regionen verfügbaren OCI- und Platform-as-a-Service-(PaaS-)Services.

Weitere Informationen finden Sie unter: