Oracle Cloud Infrastructure - Dokumentation

Benutzerzugriff auf Oracle Fusion Data Intelligence mit Single Sign-On einrichten

Sie können festlegen, wie Benutzer aus Oracle Fusion Cloud Applications mit Single Sign-On auf Oracle Fusion Data Intelligence zugreifen. Dieses Setup vereinfacht die Verwaltung von Benutzernamen und Kennwörtern. Sie müssen dieses Setup abschließen, bevor Sie Ihre Oracle Fusion Data Intelligence-Instanzen erstellen. Sofern nicht anders angegeben, ist nach dem Erstellen der Oracle Fusion Data Intelligence-Instanz ein weiteres Setup erforderlich.

Themen:

Benutzerzugriff auf Oracle Fusion Data Intelligence mit Single Sign-On einrichten

Die Verwendung von Single Sign-On vereinfacht die anwendungsübergreifende Verwaltung des Benutzerzugriffs.

Benutzer von Oracle Fusion Data Intelligence sind hauptsächlich Oracle Fusion Cloud Applications-Benutzer und Benutzer, die Sie speziell für Oracle Fusion Data Intelligence im Identitätsprovider erstellen. Die Einrichtung des Zugriffs auf Oracle Fusion Data Intelligence für diese Benutzer mit Single Sign-On hängt von den in Ihren Cloud-Accounts verfügbaren Identitätsdomains ab.

Oracle Cloud-Regionen verwenden die Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Identitätsdomains. Siehe Identitätsdomain - Überblick. Sie können ganz einfach das Vorhandensein von Identitätsdomains in Ihrem Cloud-Account bestimmen. Navigieren Sie in der Oracle Cloud Infrastructure-Konsole zu Identität und Sicherheit. Prüfen Sie, ob unter Identität die Option Domains angezeigt wird.

Richten Sie den Benutzerzugriff auf Oracle Fusion Data Intelligence mit Single Sign-On ein, wenn:
  • Oracle Fusion Cloud Applications und Oracle Fusion Data Intelligence werden in demselben Cloud-Account aktiviert. Dieser Ansatz wird dringend empfohlen, da er bei der Einrichtung Ihrer Sicherheitsintegration zwischen Oracle Fusion Data Intelligence und Ihren Oracle Fusion Cloud-Anwendungen Zeit, Kosten und Komplexität spart sowie die kontinuierliche Synchronisierungsperformance verbessert.
  • Oracle Fusion Cloud Applications und Oracle Fusion Data Intelligence werden in verschiedenen Cloud-Accounts aktiviert. Dieser Ansatz kostet Sie zusätzliche Zeit, Geld und Komplexität, wenn Sie Ihre Sicherheitsintegration zwischen Oracle Fusion Data Intelligence und Ihren Oracle Fusion Cloud-Anwendungen einrichten, und reduziert die Performance bei der laufenden Synchronisierung.

Benutzerzugriff bei einem einzelnen Cloud-Account einrichten

Richten Sie den Benutzerzugriff auf Oracle Fusion Data Intelligence mit Single Sign-On ein, wenn Oracle Fusion Cloud Applications und Oracle Fusion Data Intelligence im selben Cloud-Account aktiviert sind und der Cloud-Account Identitätsdomains anbietet.

Wenn Sie ein neuer Benutzer von Oracle Fusion Cloud Applications mit Oracle Fusion Data Intelligence sind, der im selben Cloud-Account wie Oracle Fusion Cloud Applications aktiviert ist, und Ihr Cloud-Account Identitätsdomains anbietet, führen Sie die folgenden Schritte aus:

  1. Richten Sie die JWT-basierte Authentifizierung für Oracle Fusion Data Intelligence ein.
    Siehe JWT-Authentifizierungsprovider konfigurieren. Stellen Sie beim Konfigurieren der tokenbasierten Authentifizierung sicher, dass Sie FAWServiceJWTIssuer als vertrauenswürdigen Aussteller eingeben.
  2. Verwenden Sie die Oracle Cloud Infrastructure-Konsole, und fügen Sie diese Policys hinzu, damit Benutzer aus der mit Oracle Fusion Cloud Applications verknüpften Identitätsdomain auf die Oracle Fusion Data Intelligence-Compartments zugreifen können: 
    Allow group '<DomainName>'/'<GroupName>' to manage analytics-warehouses in 
      tenancy
      Allow group '<DomainName>'/'<GroupName>' to manage
        analytics-instances in 
      tenancy
      Allow group '<DomainName>'/'<GroupName>' to manage
        autonomous-database-family 
      in tenancy
      Allow group '<DomainName>'/'<GroupName>' to manage all-resources
        in 
      compartment <compartment name>

    Siehe "So erstellen Sie eine Policy" in Policys verwalten.

  3. Kopieren Sie die URL Ihrer Oracle Fusion Cloud Applications-Instanz, und fügen Sie sie zur späteren Verwendung in eine Textdatei ein. Sie geben diese URL beim Erstellen der Oracle Fusion Data Intelligence-Instanz als Oracle Fusion Cloud Applications-Quell-URL an.
  4. Melden Sie sich in Oracle Cloud Infrastructure beim Cloud-Account an, bei dem sowohl Oracle Fusion Cloud Applications- als auch Oracle Fusion Data Intelligence-Services mit Ihren Zugangsdaten für den Cloud-Accountadministrator aktiviert wurden.
  5. Wählen Sie auf der Oracle Cloud Infrastructure-Anmeldeseite die Domain aus, die der Oracle Fusion Cloud Applications-Instanz entspricht, die Sie beim Erstellen der Oracle Fusion Data Intelligence-Instanz als Quelle angeben möchten.
  6. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf das Menüsymbol Navigation, Analysen und KI, und klicken Sie dann auf Data Intelligence, um die Oracle Fusion Data Intelligence-Instanz zu erstellen.

Benutzerzugriff bei separaten Cloud-Accounts einrichten

Richten Sie den Benutzerzugriff auf Oracle Fusion Data Intelligence mit Single Sign-On ein, wenn Oracle Fusion Cloud Applications und Oracle Fusion Data Intelligence in separaten Cloud-Accounts aktiviert sind und beide Cloud-Accounts Identitätsdomains anbieten.

Wenn Sie ein neuer Benutzer von Oracle Fusion Cloud Applications in einem Cloud-Account sind, der Identitätsdomains mit aktiviertem Oracle Fusion Data Intelligence in einem anderen neuen Cloud-Account mit Identitätsdomains anbietet, führen Sie die folgenden Schritte aus:

  1. Kopieren Sie die URL Ihrer Oracle Fusion Cloud Applications-Instanz, und fügen Sie sie zur späteren Verwendung in eine Textdatei ein.
    Sie geben diese URL beim Erstellen der Oracle Fusion Data Intelligence-Instanz als Oracle Fusion Cloud Applications-Quell-URL an.
  2. Erstellen Sie eine Domain im Cloud-Account, in dem Sie Oracle Fusion Data Intelligence aktiviert haben, um die Authentifizierung und Autorisierung der Benutzer zu steuern, die sich bei Oracle Fusion Data Intelligence anmelden können.
    Stellen Sie sicher, dass Sie den Domaintyp Kostenlos auswählen, ignorieren Sie jedoch die für den Domaintyp "Kostenlos" angegebenen Limits, da sie für Oracle Fusion Data Intelligence nicht anwendbar sind. Siehe Identitätsdomains erstellen und Identitätsdomain erstellen in Konsole verwenden.
  3. Konfigurieren Sie die GenericSCIM-Vorlage in der Identitätsdomain, die Sie im Cloud-Account erstellt haben, in dem Sie Oracle Fusion Data Intelligence aktiviert haben, um die Synchronisierung von Benutzern, Gruppen und Gruppenzuordnungen aus der Identitätsdomain zu aktivieren, die mit der Oracle Fusion Cloud Applications-Instanz verknüpft ist.
    Verwenden Sie beim Konfigurieren der GenericSCIM-Vorlage die Vorlage GenericScim - Clientzugangsdaten, und wählen Sie unter Provisioning-Vorgang auswählen die Option Autoritative Synchronisierung aus. Stellen Sie im Abschnitt "Konnektivität konfigurieren" sicher, dass der Hostname das folgende Beispielformat (ohne HTTPS) aufweist: idcs-123456abcde123.identity.oraclecloud.com. Siehe Generische SCIM-App-Vorlage konfigurieren.
  4. Konfigurieren Sie Single Sign-On zwischen der Identitätsdomain, die mit Oracle Fusion Cloud Applications verknüpft ist, und der Identitätsdomain, die mit Oracle Fusion Data Intelligence verknüpft ist.
  5. Erstellen Sie in der Oracle Cloud Infrastructure-Konsole eine Oracle Cloud Infrastructure-Policy, damit ein Domainbenutzer die Oracle Fusion Data Intelligence-Instanz erstellen kann.
    Wählen Sie beim Erstellen der Policy die Identitätsdomain aus, in der Sie die Oracle Fusion Data Intelligence-Instanz erstellen möchten, und geben Sie die folgenden Policy-Anweisungen ein:
    • Gruppe "<DomainName>"/"<GroupName>" das Verwalten von Analytics-Warehouses im Mandanten erlauben
    • Gruppe "<DomainName>"/"<GroupName>" das Verwalten von Analytics-Instanzen im Mandanten erlauben
    • Gruppe "<DomainName>"/"<GroupName>" das Verwalten der autonomen Datenbankfamilie im Mandanten erlauben

    Siehe So erstellen Sie eine Policy.

  6. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf das Menüsymbol Navigation, um zu Data Intelligence zu navigieren und die Oracle Fusion Data Intelligence-Instanz zu erstellen.
  7. Erstellen Sie eine Identitätsprovider-Policy für Single Sign-On, um sicherzustellen, dass die Oracle Fusion Data Intelligence-Anmeldeseite über eine Option zur Anmeldung mit den Zugangsdaten für Oracle Fusion Cloud Applications verfügt.

    Siehe Identitätsprovider-Policy hinzufügen in Konsole verwenden.

    Wählen Sie auf der Seite "IdP-Regel hinzufügen" unter Identitätsprovider zuweisen den SAML-IDP aus, den Sie unter SAML-Anwendung hinzufügen erstellt haben. Beispiel: den SAML-Identitätsprovider FAW-SSO.

  8. Weisen Sie die Analyseanwendungen ANALYTICSAPP_<faw-instance-name> und ANALYTICSINST_oax<faw-instance-name>-<id> der Identitätsprovider-Policy für Single Sign-On zu.
    Wenn Sie versuchen, sich über diese Apps zu authentifizieren, werden nur die Identitätsprovider auf der Anmeldeseite dieser Apps angezeigt, die Sie der Identitätsprovider-Policy für Single Sign-On zugewiesen haben. Beispiel: Der SAML-Identitätsprovider FAW-SSO. Diese Apps wurden beim Erstellen der Oracle Fusion Data Intelligence-Instanz erstellt. Siehe Apps zur Policy hinzufügen in Konsole verwenden.

Single Sign-On zwischen zwei Identitätsdomains konfigurieren

Konfigurieren Sie Single Sign-On zwischen der Identitätsdomain, die mit Oracle Fusion Cloud Applications verknüpft ist, und der Identitätsdomain, die mit Oracle Fusion Data Intelligence verknüpft ist, um sicherzustellen, dass Benutzer sich mit ihren vorhandenen Oracle Fusion Cloud Applications-Zugangsdaten bei Oracle Fusion Data Intelligence anmelden können.

Um Single Sign-On zwischen der Identitätsdomain zu konfigurieren, die mit Oracle Fusion Cloud Applications verknüpft ist, und der Identitätsdomain, die mit Oracle Fusion Data Intelligence verknüpft ist, müssen Sie mit der Oracle Cloud Infrastructure-Konsole eine Security Assertion Markup Language-(SAML-)Anwendung erstellen. Anschließend konfigurieren Sie diese SAML-Anwendung mit den Details aus der Metadaten-XML-Datei der Oracle Fusion Data Intelligence-Identitätsdomain.

Themen:

SAML-Anwendung hinzufügen

Fügen Sie eine Security Assertion Markup Language-(SAML-)Anwendung in der Identitätsdomain hinzu, die mit Ihrer Oracle Fusion Cloud Applications-Instanz verknüpft ist, um einen Benutzer einmal zu authentifizieren und diese Authentifizierung dann mehreren Anwendungen zu übermitteln.

  1. Melden Sie sich bei der Oracle Cloud Infrastructure-Konsole mit den Zugangsdaten des mit Oracle Fusion Cloud Applications verknüpften Cloud-Accounts an.
  2. Klicken Sie im Menü Navigator auf Anwendungen, und klicken Sie auf der Seite "Anwendungen" auf Hinzufügen.
  3. Wählen Sie unter "Anwendung hinzufügen" die Option SAML-Anwendung aus.
  4. Geben Sie auf der Seite "SAML-Anwendung hinzufügen" im Abschnitt "Details" einen Namen wie FAW-SSO ein, und aktivieren Sie das Kontrollkästchen Benutzer kann Zugriff anfordern, damit der Benutzer auf die App zugreifen kann.
  5. Klicken Sie im Abschnitt "SSO-Konfiguration" auf Metadaten des Identitätsproviders herunterladen, um die Metadaten-XML-Datei der mit Ihrer Oracle Fusion Cloud Applications-Instanz verknüpften Identitätsdomain herunterzuladen und die Metadaten-XML-Datei auf dem lokalen Rechner zu speichern.
  6. Speichern und unterbrechen Sie die Konfiguration dieser SAML-Anwendung vorübergehend, um bestimmte Werte aus der Metadaten-XML-Datei der Oracle Fusion Data Intelligence-Identitätsdomain zu erfassen.
Details aus der Identitätsdomain-Metadatendatei kopieren

Kopieren Sie Details aus der Metadaten-XML-Datei der Oracle Fusion Data Intelligence-Identitätsdomain in eine Textdatei, die bei der Konfiguration der von Ihnen erstellten SAML-Anwendung verwendet werden soll.

  1. Melden Sie sich mit Ihren Zugangsdaten für den Oracle Fusion Data Intelligence-Serviceadministrator bei der Oracle Cloud Infrastructure-Konsole an.
  2. Klicken Sie im Navigator von Oracle Cloud Infrastructure auf Identität und Sicherheit und dann im Bereich "Identität und Sicherheit" unter Identität auf Domains.
  3. Navigieren Sie auf der Seite "Domains" zu der Identitätsdomain, die Sie in diesem Cloud-Account erstellt haben, und klicken Sie auf der Detailseite der Identitätsdomain auf Sicherheit und dann auf Identitätsprovider.
  4. Klicken Sie auf der Identitätsdomainseite in den Identitätsprovider-(IdP-)Policys auf IdP hinzufügen, und wählen Sie in der Dropdown-Liste die Option SAML IdP hinzufügen aus.
  5. Geben Sie auf der Seite "SAML-Identitätsprovider hinzufügen" im Abschnitt "Details hinzufügen" den Namen ein, wie Fusion SSO-Anmeldung.
  6. Wählen Sie im Abschnitt "IdP konfigurieren" das Optionsfeld Identitätsprovider-Metadaten importieren aus, um die Metadaten-XML-Datei der Identitätsdomain auszuwählen und zu importieren, die mit der Oracle Fusion Cloud Applications-Instanz verknüpft ist, die Sie zuvor auf den lokalen Rechner heruntergeladen haben.
  7. Wählen Sie im Abschnitt "Zuordnungsattribute" die Option Nicht angegeben aus, wenn der Benutzername für die Identitätsdomain, die mit Ihrer Oracle Fusion Cloud-Anwendungsinstanz verknüpft ist, E-Mail- oder Kurzname sein kann. Wenn der Benutzername eine E-Mail-Adresse ist, wählen Sie EmailAddress aus.
  8. Laden Sie im Abschnitt "Exportieren" die Metadaten-XML-Datei der Oracle Fusion Data Intelligence-Identitätsdomain und des zugehörigen Signaturzertifikats herunter.
  9. Öffnen Sie die Metadaten-XML-Datei der Oracle Fusion Data Intelligence-Identitätsdomain in einem Texteditor, und kopieren Sie die Werte für entityID, AssertionConsumerService und SingleLogoutService in eine andere Textdatei, um sie bei der Konfiguration der von Ihnen erstellten SAML-Anwendung zu verwenden.
  10. Gehen Sie zurück zur Konfiguration der SAML-Anwendung in der Oracle Cloud Infrastructure-Konsole, bei der Sie sich zuvor mit den Zugangsdaten des Cloud-Accounts angemeldet haben, der mit Oracle Fusion Cloud Applications verknüpft ist.
SAML-Anwendung konfigurieren

Verwenden Sie die Details aus der Metadaten-XML-Datei der Oracle Fusion Data Intelligence-Identitätsdomain, um die SAML-Anwendung zu konfigurieren, die Sie in der Identitätsdomain erstellt haben, die mit Ihrer Oracle Fusion Cloud Applications-Instanz verknüpft ist.

Kehren Sie zum Erstellen der SAML-Anwendung zurück, die Sie unter SAML-Anwendung hinzufügen angehalten haben.
  1. Verwenden Sie auf der Seite "SAML-Anwendung hinzufügen" die Metadaten-XML-Datei der Oracle Fusion Data Intelligence-Identitätsdomain und das Signaturzertifikat, um Werte für Entity-ID und Assertion Consumer-URL im Abschnitt "Allgemein" einzugeben.
  2. Klicken Sie im Anmeldezertifikat auf Hochladen, um das Signaturzertifikat der zuvor heruntergeladenen Oracle Fusion Data Intelligence-Identitätsdomain auszuwählen und hochzuladen.
  3. Wählen Sie unter NameID-Format die Option Nicht angegeben aus, und wählen Sie unter NameID-Wert die Option Benutzername aus.
  4. Wählen Sie im Abschnitt "Erweiterte Einstellungen" die Optionen Signaturzertifikat in Signatur einschließen und Einzelne Abmeldung aktivieren aus. Verwenden Sie die Metadaten-XML-Datei der Oracle Fusion Data Intelligence-Identitätsdomain und das Signaturzertifikat, um Werte für URL für einzelne Abmeldung und URL für Abmeldeantwort einzugeben.
  5. Blenden Sie den Abschnitt "Authentifizierung und Autorisierung" ein, und stellen Sie sicher, dass die Option Berechtigungen als Autorisierung durchsetzen nicht ausgewählt ist.
  6. Klicken Sie auf Finish und dann auf Activate.
  7. Navigieren Sie zur Oracle Fusion Data Intelligence-Identitätsdomain, und klicken Sie auf die von Ihnen erstellte SAML-Anwendung, um sie zu bearbeiten.
  8. Klicken Sie unter "SAML-Identitätsprovider bearbeiten" auf Anmeldung testen, um zu prüfen, ob Sie sich erfolgreich anmelden können.