Definieren Sie als Best Practice einen <stripename> für alle Entitys, die Sie für den Strip erstellen. Die eindeutige Identifizierung der mit einem Stripe verknüpften Konfigurationen ist wichtig, insbesondere, wenn mehrere Stripes konfiguriert werden.

In den folgenden Abschnitten wird stripename in den folgenden Entitys verwendet:

Erstellen Sie in IDCS eine Gruppe im Sekundär-Stripe, und fügen Sie der Gruppe Benutzer aus dem Sekundär-Stripe hinzu.

1. Hinzufügen Sie eine Gruppe im sekundären Stripe, und benennen Sie sie stripename_administrators. Beispiel: Verwenden Sie den Namen stripe2_administrators. Klicken Sie auf Fertigstellen.
   Diesen Administratoren wird die Berechtigung erteilt, Process Automation-Instanzen zu erstellen. Diese IDCS-Gruppe ist einer IAM-Gruppe zugeordnet. Siehe IDCS- und IAM-Gruppen zuordnen.
2. Fügen Sie der Gruppe Benutzer aus dem sekundären Streifen hinzu.

Erstellen Sie eine vertrauliche IDCS-Anwendung, die OAuth-Clientzugangsdaten verwendet und der die IDCS-Domainadministratorrolle zugewiesen wurde. Sie müssen eine private Anwendung pro zweitem Stripe erstellen.

1. Melden Sie sich als IDCS-Administrator bei der sekundären IDCS-Administratorkonsole an.
2. Fügen Sie eine vertrauliche Anwendung hinzu.
   1. Navigieren Sie zur Registerkarte Anwendungen.
   2. Klicken Sie auf Hinzufügen.
   3. Wählen Sie Vertrauliche Anwendung aus.
   4. Benennen Sie die Anwendung Client_Credentials_For_SAML_Federation.
   5. Klicken Sie auf Weiter.
3. Konfigurieren Sie die Clienteinstellungen.
   1. Klicken Sie auf Diese Anwendung jetzt als Client konfigurieren.
   2. Wählen Sie unter Berechtigung die Option Clientzugangsdaten aus.
   3. Klicken Sie unter Client Zugriff auf die Admin-APIs von Identity Cloud Service erteilen auf Hinzufügen, und wählen Sie die Anwendungsrolle Identitätsdomainadministrator aus.
   4. Klicken Sie zweimal auf Weiter.
4. Klicken Sie auf Fertigstellen. Notieren Sie nach der Erstellung der Anwendung die Client-ID und das Client Secret. Sie benötigen diese Informationen in den nächsten Schritten für die Föderation
5. Klicken Sie auf Aktivieren, und bestätigen Sie die Aktivierung der Anwendung.

Diese Gruppe ist erforderlich, weil für die Oracle Cloud Infrastructure-SAML-IDP-Föderation eine Gruppenzuordnung für die Föderierung von Benutzern aus dem föderierten IDP (IDCS) erforderlich ist und weil eine OCI-native Gruppenmitgliedschaft für die Definition und Erteilung von Oracle Cloud Infrastructure-Berechtigungen (Policys) für föderierte Benutzer erforderlich ist.

1. Öffnen Sie in der Oracle Cloud Infrastructure-Konsole das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Gruppen.
   Diese IAM-Gruppe wird der IDCS-Gruppe zugeordnet, die Sie erstellt haben.
2. Erstellen Sie eine Gruppe, und benennen Sie sie oci_stripename_administrators. Beispiel: Verwenden Sie den Namen oci_stripe2_administrators.

Nachdem Sie die IDCS- und IAM-Gruppen erstellt und die erforderlichen Clientinformationen zusammengestellt haben, erstellen Sie den IDCS-Identitätsprovider, und ordnen Sie die Gruppen zu.

1. Melden Sie sich bei der Oracle Cloud Infrastructure-Konsole an. Wählen Sie die Identitätsdomain des ursprünglichen Stripes (identitycloudservice) aus, und geben Sie ihre Benutzerzugangsdaten ein.
   Beachten Sie, dass die Gruppenzuordnung für einen sekundären Stripe die Benutzeranmeldung für den primären Stripe verwendet. Dies ist wichtig, da diese Dropdown-Liste um mehrere Optionen erweitert wird.
2. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit, Föderation.
3. Klicken Sie auf Identitätsprovider hinzufügen.
4. Füllen Sie im daraufhin angezeigten Fenster die Felder wie unten dargestellt aus.

   Feld	Eingebende Informationen
   Name	<stripename>_service
   Beschreibung	Federation with IDCS secondary stripe
   Typ	Oracle Identity Cloud Service
   Oracle Identity Cloud Service-Basis-URL	Geben Sie die folgende URL im Format ein: https://idcs-xxxx.identity.oraclecloud.com Ersetzen Sie den Domainteil <IDCS-xxxx> durch Ihr sekundäres IDCS-Stripe.
   Client-ID/Client Secret	Geben Sie die Client-ID und das Client Secret ein, die Sie beim Erstellen eines OAuth-Clients im sekundären Stripe abgerufen haben. Siehe Erstellen Sie einen OAuth-Client im sekundären Stripe.
   Authentifizierung erzwingen	Wählen Sie diese Option.

5. Klicken Sie auf Weiter.
6. Ordnen Sie die sekundären IDCS-Stripe- und OCI-Gruppen zu, die Sie zuvor erstellt haben.
   Ordnen Sie die sekundäre IDCS-Stripe-Gruppe (erstellt unter IDCS-Gruppe für sekundäre Stripe-Benutzer erstellen) und die OCI-Gruppe (erstellt unter IAM-Gruppe für sekundäre Stripe-Benutzer erstellen) zu.
7. Klicken Sie auf Provider hinzufügen.
   Die Föderation des sekundären Stripes ist vollständig. Beachten Sie, dass die Gruppenzuordnung angezeigt wird.
8. Prüfen Sie den sekundären Stripe, und konfigurieren Sie die Sichtbarkeit für Administratoren und Benutzer des sekundären Stripe.
   • Der Mandantenadministrator kann alle föderierten IDCS-Stripes in der OCI-Konsole anzeigen.
   • Der sekundäre Stripe-Administrator und alle anderen sekundären Stripe-Benutzer sehen keine Stripes unter Federation. Informationen dazu finden Sie unter Zugriff auf einen föderierten Stripe in der IAM-Gruppe für sekundäre Stripe-Benutzer erteilen.

Richten Sie nach dem Erstellen der Föderation IAM-Policys ein, die föderierten Benutzern aus dem sekundären IDCS-Stripe das Erstellen von Oracle Cloud Infrastructure Process Automation-Instanzen erlauben. Als allgemeines Muster gilt die Policy für ein Compartment.

1. Erstellen Sie ein Compartment, in dem Oracle Cloud Infrastructure Process Automation-Instanzen für den sekundären IDCS-Stripe erstellt werden können. Benennen Sie das Compartment stripename_compartment.
   Beispiel: Erstellen Sie ein Compartment namens stripe2_compartment.
2. Erstellen Sie eine Policy, die föderierten Benutzern das Erstellen von Oracle Cloud Infrastructure Process Automation-Instanzen im Compartment erlaubt. Benennen Sie die Policy stripename_adminpolicy (Beispiel: stripe2_adminpolicy).

   Wählen Sie unter Policy Builder die Option Manuellen Editor anzeigen aus.

   • Syntax: allow group stripename_administrators to verb resource-type in compartment stripename_compartment
   • Policy: allow group oci_stripe2_administrators to manage process-automation-instance in compartment stripe2_compartment

Führen Sie zusätzliche Schritte aus, um dem Administrator des sekundären Stripes und allen anderen Benutzern des sekundären Stripes die Anzeige von Stripes unter Federation zu ermöglichen.

1. Erstellen Sie in Oracle Identity Cloud Service eine Gruppe mit dem Namen stripe2_federation_administrators.
2. Fügen Sie Benutzer zu der Gruppe hinzu, der Sie die Föderation anzeigen und Benutzer und Gruppen in der Oracle Cloud Infrastructure-Konsole in diesem Stripe erstellen möchten.
3. Erstellen Sie in der Oracle Cloud Infrastructure-Konsole mit dem primären Stripe-Benutzer mit der richtigen Berechtigung eine IAM-Gruppe mit dem Namen oci_stripe2_federation_administrators.
4. Ordnen Sie die Gruppen stripe2_federation_administrators und oci_stripe2_federation_administrators zu.
5. Definieren Sie mit den folgenden Anweisungsbeispielen eine Policy, die Zugriff auf föderierte Stripes erteilt.

   In mehreren Beispielen wird gezeigt, wie Sie mit einer where-Klausel, die den sekundären Stripe identifiziert, Zugriff auf einen bestimmten föderierten Stripe erteilen.

   Sie können die OCID der Föderation aus der Föderationsansicht in der Oracle Cloud Infrastructure-Konsole abrufen.

   Ermöglicht Administratoren des sekundären Stripes...	Policy-Anweisung
   Gruppen erstellen (verwenden)	allow group oci_stripe2_federation_administrators to use groups in tenancy
   Identitätsprovider in der Föderation auflisten (Prüfen)	allow group oci_stripe2_federation_administrators to inspect identity-providers in tenancy Wenn die sekundären Stripe-Administratoren Gruppen erstellen müssen, ist diese Policy erforderlich, wenn eine Where-Klausel enthalten ist.
   Auf einen bestimmten föderierten Stripe zugreifen (verwenden)	allow group oci_stripe2_federation_administrators to use identity-providers in tenancy where target.identity-provider.id=“ocid1.saml2idp.oc1..aaaaaaaaa…”

   Wenn Sie sich als Benutzer in der obigen IDCS-Gruppe anmelden, können Sie Benutzer und Gruppen in der Oracle Cloud Infrastructure-Konsole erstellen und Berechtigungen wie in einem primären Stripe zuweisen.

Nachdem Föderations- und Oracle Cloud Infrastructure-Policys definiert wurden, können sich föderierte Benutzer bei der Oracle Cloud Infrastructure-Konsole anmelden und Oracle Cloud Infrastructure Process Automation-Instanzen erstellen.

1. Melden Sie sich über den sekundären Stripe als föderierter Benutzer an.
   Benutzer müssen den sekundären Strip im Feld Identitätsprovider auswählen. Beispiel: stripe2_administrators.
2. Autorisierte Administratoren können Process Automation-Instanzen im angegebenen Compartment beenden (Beispiel: stripe2_compartment).