Definieren Sie als Best Practice einen <stripename> für alle Entitys, die Sie für den Stripe erstellen. Die eindeutige Identifizierung der mit einem Stripe verknüpften Konfigurationen ist wichtig, insbesondere, wenn mehrere Stripes konfiguriert werden.

Erstellen Sie in IDCS eine Gruppe im sekundären Stripe, und fügen Sie der Gruppe Benutzer aus dem sekundären Stripe hinzu.

1. Fügen Sie eine Gruppe im sekundären Stripe hinzu, und nennen Sie sie stripename_administrators. Weitere Informationen finden Sie unter Naming Convention for Stripe definieren. Beispiel: Verwenden Sie den Namen stripe2_administrators. Klicken Sie auf Beenden.
   Weitere Informationen finden Sie unter Gruppen erstellen in Oracle Identity Cloud Service verwalten.

   Diesen Administratoren wird die Berechtigung zum Erstellen von Oracle Integration-Instanzen erteilt. Diese IDCS-Gruppe wird einer Oracle Cloud Infrastructure-Gruppe zugeordnet.

2. Fügen Sie der Gruppe Benutzer aus dem sekundären Stripe hinzu.

Erstellen Sie eine vertrauliche IDCS-Anwendung, die OAuth-Clientzugangsdaten verwendet und der die IDCS-Domainadministratorrolle zugewiesen ist. Sie müssen eine vertrauliche Anwendung pro sekundärem Stripe erstellen.

1. Melden Sie sich als IDCS-Administrator bei der sekundären IDCS-Administratorkonsole an.
2. Fügen Sie eine vertrauliche Anwendung hinzu.
   1. Navigieren Sie zur Registerkarte Anwendungen.
   2. Klicken Sie auf Hinzufügen.
   3. Wählen Sie Vertrauliche Anwendung aus.
   4. Benennen Sie die Anwendung Client_Credentials_For_SAML_Federation.
   5. Klicken Sie auf Weiter.
   
   

   
   

   
   
3. Konfigurieren Sie die Clienteinstellungen.
   1. Klicken Sie auf Diese Anwendung jetzt als Client konfigurieren.
   2. Wählen Sie unter Autorisierung die Option Clientzugangsdaten aus.
      
      

      
      

      
      
   3. Klicken Sie unter Client Zugriff auf die Identity Cloud Service-Admin-APIs erteilen auf Hinzufügen, und wählen Sie die Anwendungsrolle Identitätsdomainadministrator aus.
      
      

      
      

      
      
   4. Klicken Sie zweimal auf Weiter.
4. Klicken Sie auf Fertigstellen. Notieren Sie sich nach dem Erstellen der Anwendung die Client-ID und das Client Secret. Sie benötigen diese Informationen in den nächsten Schritten für die Föderation.
   
   

   
   

   
   
5. Klicken Sie auf Aktivieren, und bestätigen Sie die Aktivierung der Anwendung.

Diese Gruppe ist erforderlich, weil die Oracle Cloud Infrastructure-SAML-IDP-Föderation eine Gruppenzuordnung für föderierende Benutzer aus dem föderierten IDP (IDCS) erfordert, und die Mitgliedschaft in der nativen OCI-Gruppe ist erforderlich, um Oracle Cloud Infrastructure-Berechtigungen (Policys) für föderierte Benutzer zu definieren und zu erteilen.

1. Öffnen Sie in der Oracle Cloud Infrastructure-Konsole das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Gruppen.

   Diese Oracle Cloud Infrastructure-Gruppe wird der von Ihnen erstellten IDCS-Gruppe zugeordnet.

2. Erstellen Sie eine Gruppe, und benennen Sie sie oci_stripename_administrators. Beispiel: Verwenden Sie den Namen oci_stripe2_administrators.
   
   

   
   

   
   

Nachdem Sie die IDCS- und Oracle Cloud Infrastructure-Gruppen erstellt und Clientinformationen benötigt haben, erstellen Sie den IDCS-Identitätsprovider und ordnen die Gruppen zu.

1. Melden Sie sich bei der Oracle Cloud Infrastructure-Konsole an. Wählen Sie die Identitätsdomain des ursprünglichen Stripes (identitycloudservice) aus, und geben Sie die zugehörigen Benutzerzugangsdaten ein.

   Beachten Sie, dass die Gruppenzuordnung für einen sekundären Stripe die Benutzeranmeldung für den ursprünglichen Stripe verwendet. Dies ist wichtig, da diese Dropdown-Liste durch Hinzufügen mehrerer Stripes um zusätzliche Optionen erweitert wird.

2. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit und dann auf Föderation.
3. Klicken Sie auf Identitätsprovider hinzufügen.
4. Füllen Sie auf der angezeigten Seite die Felder wie unten gezeigt aus.

   Feld	Eintrag
   Name	<stripename>_service
   Beschreibung	Federation with IDCS secondary stripe
   Typ	Oracle Identity Cloud Service
   Oracle Identity Cloud Service-Basis-URL	Geben Sie diese URL im folgenden Format ein: https://idcs-xxxx.identity.oraclecloud.com Ersetzen Sie den Domainteil <idcs-xxxx> durch Ihren sekundären IDCS-Stripe.
   Client-ID/Client Secret	Geben Sie diese Informationen ein, die Sie im sekundären Stripe erstellt und während der Schritte unter OAuth-Client im sekundären Stripe erstellen notiert haben.
   Authentifizierung erzwingen	Wählen Sie diese Option aus.

5. Klicken Sie auf Weiter.
6. Ordnen Sie die zuvor erstellten sekundären IDCS-Stripe- und OCI-Gruppen zu.
   Ordnen Sie die unter IDCS-Gruppe für sekundäre Stripe-Benutzer erstellen erstellte IDCS-Sekundär-Stripe-Gruppe und die OCI-Gruppe (unter Oracle Cloud Infrastructure-Gruppe für sekundäre Stripe-Benutzer erstellen erstellt) zu.
7. Klicken Sie auf Provider hinzufügen.
   Die sekundäre Stripe-Föderation ist vollständig. Beachten Sie, dass die Gruppenzuordnung angezeigt wird.
   
   

   
   

   
   
8. Prüfen Sie den sekundären Stripe, und konfigurieren Sie die Sichtbarkeit für sekundäre Stripe-Administratoren und -Benutzer.

   • Der Mandantenadministrator kann alle föderierten IDCS-Stripes in der OCI-Konsole anzeigen:

   • Der sekundäre Stripe-Administrator und alle anderen sekundären Stripe-Benutzer sehen keine Stripes unter der Föderation. Informationen dazu finden Sie unter Zugriff auf einen föderierten Stripe in der Oracle Cloud Infrastructure-Konsolengruppe für sekundäre Stripe-Benutzer erteilen.

Richten Sie nach dem Erstellen der Föderation Oracle Cloud Infrastructure-Policys ein, die föderierten Benutzern aus dem sekundären IDCS-Stripe das Erstellen von Oracle Integration-Instanzen erlauben. Als allgemeines Muster gilt die Policy für ein Compartment.

1. Erstellen Sie ein Compartment, in dem Oracle Integration-Instanzen für den sekundären IDCS-Stripe erstellt werden können. Geben Sie einen Namen für das Compartment stripename_compartment ein.
   Beispiel: Erstellen Sie ein Compartment namens stripe2_compartment.
2. Erstellen Sie eine Policy, die föderierten Benutzern das Erstellen von Oracle Integration-Instanzen im Compartment erlaubt. Name der Policy stripename_adminpolicy (Beispiel: stripe2_adminpolicy).
   Wählen Sie unter Policy Builder die Option Manuellen Editor anzeigen.

   • Syntax: allow group stripename_administrators toverb resource-typein compartmentstripename_compartment

   • Policy: allow group oci_stripe2_administrators to manage integration-instances in compartment stripe2_compartment

   Diese Policy erlaubt Benutzern, die Mitglieder der Gruppe in der Policy sind, das Erstellen einer Oracle Integration-Instanz (integration-instance) im Compartment namens stripe2_compartment.

Führen Sie zusätzliche Schritte aus, damit der sekundäre Stripe-Administrator und alle anderen sekundären Stripe-Benutzer Stripes unter Federation anzeigen können.

1. Erstellen Sie in Oracle Identity Cloud Service eine Gruppe mit dem Namen stripe2_federation_administrators.
2. Fügen Sie der Gruppe Benutzer hinzu, die Sie die Föderation anzeigen möchten, und erstellen Sie Benutzer und Gruppen in der Oracle Cloud Infrastructure-Konsole in diesem Streifen.
3. Erstellen Sie in der Oracle Cloud Infrastructure-Konsole unter Verwendung des primären Stripe-Benutzers mit der richtigen Berechtigung eine Oracle Cloud Infrastructure-Gruppe mit dem Namen oci_stripe2_federation_administrators.
4. Ordnen Sie die Gruppen stripe2_federation_administrators und oci_stripe2_federation_administrators zu.
5. Definieren Sie mit den folgenden Anweisungsbeispielen eine Policy, die Zugriff auf föderierte Stripes erteilt.
   Einige der Beispiele zeigen, wie Sie einem bestimmten föderierten Stripe Zugriff erteilen, indem Sie eine where-Klausel verwenden, die den sekundären Stripe identifiziert. Sie können die OCID der Föderation aus der Föderationsansicht in der Oracle Cloud Infrastructure-Konsole abrufen.

   Ermöglicht sekundären Stripe-Administratoren...	Policy-Anweisung
   Gruppen erstellen (verwenden)	allow group oci_stripe2_federation_administrators to use groups in tenancy
   Identitätsprovider in der Föderation auflisten (inspect)	allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy Wenn die sekundären Stripe-Administratoren zum Erstellen von Gruppen erforderlich sind, ist diese Policy erforderlich, wenn eine WHERE-Klausel enthalten ist.
   Auf einen bestimmten föderierten Stripe zugreifen (verwenden)	allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”
   ALLE oder NUR einen bestimmten sekundären Stripe-Identitätsprovider verwalten (Verwaltung)	ALL: allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy ONLY specific Secondary Stripe Identity Provider: allow group oci_stripe2_federation_administrators to manage identity-providers in tenancy where target.identity-provider.id = "ocid1.saml2idp.oc1..aaaaaaaaa…"

Wenn Föderation und Oracle Cloud Infrastructure-Policys definiert sind, können föderierte Benutzer sich bei der Oracle Cloud Infrastructure-Konsole anmelden und Oracle Integration-Instanzen erstellen.

1. Melden Sie sich vom sekundären Stripe als föderierter Benutzer an.
   Benutzer müssen den zweiten Streifen im Feld "Identitätsprovider" auswählen (idcs-secondary-stripe-service in diesem Fall).
2. Autorisierte Administratoren können Oracle Integration-Instanzen im angegebenen Compartment (in diesem Fall idcs-secondary-stripe-compartment) einstellen.