Oracle Cloud Infrastructure-Dokumentation

Federation Trust-Beziehung aktivieren

Identity Federation erfordert eine Vertrauensbeziehung zwischen Private Cloud Appliance und dem Identitätsprovider Microsoft Active Directory. Spezifische Details aus dem Federation-Partnersystem sind erforderlich, um dieses gegenseitige Vertrauen aufzubauen, damit Daten für die Benutzerauthentifizierung ausgetauscht werden können.

Erforderliche ADFS-Metadaten sammeln

Identity Federation erfordert die folgenden Informationen vom Identitätsprovider:

  • Das SAML-Metadatendokument von Active Directory Federation Services (ADFS)

    Der Standardspeicherort lautet: https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml.

  • Die Namen der Active Directory-(AD-)Gruppen, die Sie Private Cloud Appliance-Gruppen zuordnen möchten

    Notieren Sie sich alle AD-Gruppen, die zugeordnet werden müssen.

    Achtung

    Stellen Sie sicher, dass alle Private Cloud Appliance-Gruppen konfiguriert wurden, bevor Sie AD als Identitätsprovider hinzufügen.

Identitätsproviderzertifikate prüfen

Achtung

Wenn Ihr ADFS-Zertifikat von einer bekannten Certificate Authority signiert ist, sollte es bereits im Private Cloud Appliance-Zertifikats-Bundle vorhanden sein. In diesem Fall können Sie diesen Abschnitt überspringen.

Die Private Cloud Appliance Certificate Authority (CA) basiert auf selbstsignierten, von OpenSSL generierten Root- und X.509-Zwischenzertifikaten. Mit diesen CA-Zertifikaten werden x.509-Server-/Clientzertifikate ausgegeben, sodass Sie der Appliance externe CA-Vertrauensinformationen hinzufügen können. Wenn Sie ein selbstsigniertes Zertifikat für ADFS verwenden, müssen Sie den Managementknoten externe CA-Vertrauensinformationen aus ADFS hinzufügen.

Hinweis

Wenn Sie die Eigenschaft metadataUrl zum Erstellen oder Aktualisieren eines Identitätsproviders verwenden, müssen Sie die Webserverzertifikatskette des Identitätsproviders zum Private Cloud Appliance außerhalb des CA-Bundles hinzufügen. Informationen zum Suchen der Webserver-Zertifikatskette finden Sie in der Dokumentation Ihres Identitätsproviders, und führen Sie die Schritte 3 bis 8 aus.

So fügen Sie externe CA-Vertrauensinformationen hinzu:

  1. Laden Sie das SAML-Metadatendokument für ADFS herunter, das standardmäßig unter folgender Adresse verfügbar ist:

    https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml

  2. Öffnen Sie die Datei in einem Text- oder XML-Editor, und suchen Sie den Abschnitt mit dem Signaturzertifikat. Beispiel:

    <KeyDescriptor use="signing">
<KeyInfo>
<X509Data>
<X509Certificate>
<!--CERTIFICATE IS HERE-->
</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>

  3. Melden Sie sich bei Managementknoten 1 (pcamn01) an.

  4. Navigieren Sie zu /etc/pca3.0/vault, und erstellen Sie ein neues Verzeichnis namens customer_ca.

    Hinweis

    Sie können dieses Verzeichnis für mehrere Dateien verwenden. Beispiel: Sie können eine Datei für das Identitätsproviderzertifikat und eine Datei für die Webserverzertifikatskette erstellen.

  5. Erstellen Sie im Verzeichnis customer_ca eine neue Datei im PEM-Format.

  6. Kopieren Sie das Zertifikat aus der Datei FederationMetadata.xml, die sich im Tag <X509Certificate> befindet, und fügen Sie es in die neue PEM-Datei ein. Stellen Sie sicher, dass -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- enthalten sind. Beispiel:

    -----BEGIN CERTIFICATE-----
<CERTIFICATE CONTENT>
-----END CERTIFICATE-----

  7. Speichern Sie die Datei und schließen Sie sie.

  8. Führen Sie den folgenden Befehl aus, um die ca_outside_bundle.crt auf allen Managementknoten zu aktualisieren:

    python3 /usr/lib/python3.11/site-packages/pca_foundation/secret_service/cert_generator/cert_generator_app.py -copy_to_mns

Private Cloud Appliance als vertrauenswürdige Relying Party in ADFS hinzufügen

Um den Föderationsprozess abzuschließen, müssen Sie Private Cloud Appliance als vertrauenswürdige Relying Party in Microsoft Active Directory Federation Services (ADFS) hinzufügen und dann zugehörige Relying Party Claim-Regeln hinzufügen.

Relying Party in ADFS hinzufügen

  1. Zeigen Sie auf der Seite "Identitätsprovider" in der Service-Web-UI den folgenden Textblock an:

    Sie benötigen das Metadatendokument für Private Cloud Appliance Federation, wenn Sie eine Vertrauensbeziehung mit Microsoft Active Directory Federation Services oder mit anderen SAML 2.0-konformen Identitätsprovidern einrichten. Dies ist ein XML-Dokument, das den Private Cloud Appliance-Endpunkt und die Zertifikatsinformationen beschreibt. Klicken Sie hier

  2. Klicken Sie auf "Hier klicken".

    Eine Metadaten-XML-Datei wird im Browser mit einer URL geöffnet, die dem folgenden ähnelt:

    https://adminconsole.system-name.domain-name/wsapi/rest/saml/metadata/

  3. Kopieren Sie die URL der Metadaten-XML-Datei.

  4. Öffnen Sie auf dem mit ADFS installierten System ein Browserfenster, und fügen Sie die URL ein.

  5. Speichern Sie die Datei, und verwenden Sie die Erweiterung .xml. Beispiel: my-sp-metadata.xml.

  6. Gehen Sie zur AD FS-Verwaltungskonsole, und melden Sie sich bei dem Account an, den Sie föderieren möchten.

  7. Fügen Sie Private Cloud Appliance als vertrauenswürdige Relying Party hinzu.

    1. Klicken Sie unter AD FS mit der rechten Maustaste auf Relying Party Trusts und wählen Sie Add Relying Party Trust.

    2. Wählen Sie auf der Seite {\b Add Relying Party Trust Wizard Welcome} die Option {\b Claims Aware}, und klicken Sie auf {\b Start}.

    3. Wählen Sie auf der Seite {\b Select Data Source} die Option {\b Import data about the relying party from a file}.

    4. Klicken Sie auf "Durchsuchen", navigieren Sie zu my-sp-metadata.xml, und klicken Sie dann auf "Öffnen".

    5. Geben Sie auf der Seite "Anzeigenamen angeben" einen Anzeigenamen ein, fügen Sie optionale Notizen für die abhängige Partei hinzu, und klicken Sie auf "Weiter".

    6. Wählen Sie auf der Seite {\b Choose Access Control Policy} den Zugriffstyp, den Sie erteilen möchten, und klicken Sie auf {\b Next}.

    7. Prüfen Sie auf der Seite "Bereit zum Hinzufügen von Vertrauen" die Einstellungen, und klicken Sie auf "Weiter", um die Vertrauensinformationen Ihrer Vertrauenspartei zu speichern.

    8. Aktivieren Sie auf der Seite "Fertigstellen" die Option "Richtlinie für die Ausstellung von Ansprüchen für diese Anwendung konfigurieren", und klicken Sie auf "Schließen".

      Das Dialogfeld "Anspruchsausgabe-Policy bearbeiten" wird angezeigt, in dem Sie die nächste Prozedur öffnen können.

Anspruchsregeln für Relying Party hinzufügen

Nachdem Sie Private Cloud Appliance als vertrauenswürdige Relying Party hinzugefügt haben, müssen Sie Anspruchsregeln hinzufügen, damit die erforderlichen Elemente (Name ID und Gruppen) zur SAML-Authentifizierungsantwort hinzugefügt werden.

So fügen Sie eine Namens-ID-Regel hinzu:

  1. Klicken Sie im Dialogfeld "Anspruchsausgabe-Policy bearbeiten" auf "Regel hinzufügen".

    Das Dialogfeld "Regelvorlage auswählen" wird angezeigt.

  2. Wählen Sie für die Anspruchsregelvorlage die Option "Eingehenden Anspruch transformieren" aus, und klicken Sie auf "Weiter".

  3. Geben Sie Folgendes ein:

    • Claim rule name: Geben Sie einen Namen für diese Regel an, z.B. nameid.

    • Eingehender Anspruchstyp: Wählen Sie einen Microsoft Windows-Accountnamen.

    • Ausgehender Anspruchstyp: Wählen Sie einen Anspruchstyp aus, z.B. die Namens-ID.

    • Ausgehendes Namens-ID-Format: Wählen Sie "Persistente ID" aus.

    • Wählen Sie "Alle Anspruchswerte übergeben", und klicken Sie auf "Fertigstellen".

      Die Regel wird in der Liste der Regeln angezeigt.

Im Dialogfeld "Regeln für Ausstellungstransformation" wird die neue Regel angezeigt.

Wenn Ihre Active Directory-Benutzer nicht mehr als 100 Gruppen angehören, fügen Sie einfach die Gruppenregel hinzu. Wenn sich Ihre Active Directory-Benutzer jedoch in mehr als 100 Gruppen befinden, können diese Benutzer nicht für die Verwendung der Service-Web-UI authentifiziert werden. Für diese Gruppen müssen Sie einen Filter auf die Gruppenregel anwenden.

So fügen Sie die Gruppenregel hinzu:

  1. Klicken Sie im Dialogfeld {\b Issuance Transform Rules} auf {\b Add Rule}.

    Das Dialogfeld "Regelvorlage auswählen" wird angezeigt.

  2. Wählen Sie unter "Claim Rule template" die Option "Send Claims Using a Custom Rule" aus, und klicken Sie auf "Next".

  3. Im Assistenten "Add Transform Claim Rule Wizard" geben Sie Folgendes ein:

    • Claim rule name: Geben Sie Gruppen ein.

    • Benutzerdefinierte Regel: Geben Sie die benutzerdefinierte Regel ein.

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://auth.oraclecloud.com/saml/claims/groupName"), query = ";tokenGroups;{0}", param = c.Value);

    • Klicken Sie auf "Fertigstellen".

    Im Dialogfeld "Regeln für Ausstellungstransformation" wird die neue Regel angezeigt.

Zertifikatsperrprüfung deaktivieren

Damit ADFS mit SAML arbeiten kann, müssen Sie die Zertifikatsperrlistenprüfung (Certificate Revocation List, CRL) deaktivieren. Öffnen Sie Powershell im ADFS-System, und geben Sie den folgenden Befehl ein, wobei TRUST_NAME der Name des Vertrauenspersonen ist:

Get-AdfsRelyingPartyTrust -Name '<TRUST_NAME>' | Set-AdfsRelyingPartyTrust -EncryptionCertificateRevocationCheck None -SigningCertificateRevocationCheck None