Oracle Cloud Infrastructure-Dokumentation

Identity Federation konfigurieren

Um einen Identitätsprovider in Roving Edge einzurichten, stellen Sie sicher, dass die zugehörige Metadatendatei vorhanden ist und dass die CA-Zertifikatsanforderungen geprüft wurden. Fügen Sie die erforderlichen Gruppenzuordnungen hinzu, um die Authentifizierung föderierter Benutzer zu aktivieren.

Befolgen Sie die Schritt-für-Schritt-Anweisungen in diesem Abschnitt, um Identitätsprovider und deren Gruppenzuordnungen zu verwalten.

Identitätsanbieter verwalten

Active Directory als Identitätsprovider hinzufügen

  1. Melden Sie sich bei der Service-Web-UI an.

  2. Rufen Sie das Navigationsmenü auf, und klicken Sie auf "Identitätsprovider".

  3. Klicken Sie auf der Seite "Identitätsprovider" auf "Identitätsprovider erstellen".

  4. Geben Sie auf der Seite "Identitätsprovider erstellen" die folgenden Informationen an:

    • Anzeigename

      Der Name, den die föderierten Benutzer bei der Auswahl des Identitätsproviders für die Anmeldung bei der Service-Web-UI sehen. Dieser Name muss für alle Identitätsprovider eindeutig sein und kann nicht geändert werden.

    • Beschreibung

      Eine benutzerfreundliche Beschreibung des Identitätsproviders.

    • Authentifizierungskontexte

      Klicken Sie auf "Klassenreferenz hinzufügen", und wählen Sie einen Authentifizierungskontext aus der Liste aus.

      Wenn ein oder mehrere Werte angegeben sind, erwartet Roving Edge (die Relying Party), dass der Identitätsprovider bei der Authentisierung des Benutzers einen der angegebenen Authentifizierungsverfahren verwenden soll. Die zurückgegebene SAML-Antwort vom Identitätsprovider muss eine Authentifizierungsanweisung mit dieser Authentifizierungskontext-Klassenreferenz enthalten. Wenn der Authentifizierungskontext der SAML-Antwort nicht mit der hier angegebenen Antwort übereinstimmt, lehnt der Roving Edge-Authentifizierungsservice die SAML-Antwort mit einer 400 ab.

    • Assertion verschlüsseln (optional)

      Wenn diese Option aktiviert ist, erwartet der Autorisierungsservice verschlüsselte Assertions vom Identitätsprovider. Nur der Autorisierungsservice kann die Assertion entschlüsseln. Wenn diese Option nicht aktiviert ist, erwartet der Autorisierungsservice, dass SAML-Token nicht verschlüsselt, aber SSL-geschützt sind.

    • Authentifizierung erzwingen (optional)

      Wenn diese Option aktiviert ist, werden Benutzer immer zur Authentifizierung bei ihrem Identitätsprovider aufgefordert, wenn sie vom Autorisierungsservice umgeleitet werden. Wenn diese Option nicht aktiviert ist, werden Benutzer nicht zur erneuten Authentifizierung aufgefordert, wenn sie bereits eine aktive Anmeldesession mit dem Identitätsprovider haben.

    • Metadaten-URL

      Geben Sie die URL für das Dokument FederationMetadata.xml vom Identitätsprovider ein.

      Standardmäßig befindet sich die Metadatendatei für ADFS unter https://<id-provider-name>/FederationMetadata/2007-06/FederationMetadata.xml.

  5. Klicken Sie auf "Identitätsprovider erstellen".

    Ihrem neuen Identitätsprovider wird eine OCID zugewiesen und auf der Seite "Identitätsprovider" angezeigt

Nachdem der Identitätsprovider hinzugefügt wurde, müssen Sie die Gruppenzuordnungen zwischen Roving Edge und Active Directory einrichten. Siehe Gruppenzuordnungen für einen Identitätsprovider verwalten.

Identitätsprovider aktualisieren

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf "Identitätsprovider".

    Eine Liste der Identitätsprovider wird angezeigt.

  2. Für den Identitätsprovider, den Sie aktualisieren möchten, klicken Sie auf das Aktionssymbol (drei Punkte), und klicken Sie dann auf "Bearbeiten".

  3. Ändern Sie eine der folgenden Informationen. Beachten Sie jedoch, dass sich eine Änderung dieser Informationen auf die Föderation auswirken kann.

    • Beschreibung

    • Authentifizierungskontexte

      Klassenreferenzen hinzufügen oder löschen

    • Assertion verschlüsseln

      Verschlüsselte Assertions im Identitätsprovider aktivieren oder deaktivieren.

    • Authentifizierung erzwingen

      Umleitungsauthentifizierung vom Identitätsprovider aktivieren oder deaktivieren.

    • Metadaten-URL

      Geben Sie die URL für ein neues FederationMetadata.xml-Dokument vom Identitätsprovider ein.

  4. Klicken Sie auf "Identitätsprovider aktualisieren".

Identitätsprovider und Konfigurationsdetails anzeigen

Auf der Detailseite des Identitätsproviders werden allgemeine Informationen wie Authentifizierungskontexte angezeigt. Außerdem werden die Einstellungen des Identitätsproviders bereitgestellt, die den Umleitungs-URL enthalten. Auf dieser Seite können Sie auch den Identitätsprovider bearbeiten und die Gruppenzuordnungen verwalten.

  1. Öffnen sie das navigationsmenü, und klicken sie auf "identitätsprovider".

    Eine Liste der Identitätsprovider wird angezeigt.

  2. Klicken Sie für den Identitätsprovider, dessen Details Sie anzeigen möchten, auf das Symbol "Aktionen" (drei Punkte) und dann auf "Details anzeigen".

    Die Seite mit den Identitätsproviderdetails wird angezeigt.

Identitätsprovider löschen

Wenn Sie die Option für föderierte Benutzer zur Anmeldung bei Roving Edge entfernen möchten, müssen Sie den Identitätsprovider löschen. Dadurch werden auch alle verknüpften Gruppenzuordnungen gelöscht.

  1. Öffnen Sie das Navigationsmenü, klicken Sie auf "Identität", und klicken Sie auf "Föderation".

    Eine Liste der Identitätsprovider wird angezeigt.

  2. Klicken Sie für den Identitätsprovider, den Sie löschen möchten, auf das Aktionssymbol (drei Punkte) und dann auf "Löschen".

  3. Klicken Sie in der Eingabeaufforderung "Identitätsprovider löschen" auf "Bestätigen".

Gruppenzuordnungen für einen Identitätsanbieter verwalten

Beachten Sie beim Arbeiten mit Gruppenzuordnungen Folgendes:

  • Eine bestimmte Active Directory-Gruppe ist einer einzelnen Private Cloud Appliance-Gruppe zugeordnet.

  • Private Cloud Appliance-Gruppennamen dürfen keine Leerzeichen enthalten und können später nicht mehr geändert werden. Zulässige Zeichen sind Buchstaben, Zahlen, Bindestriche, Punkte, Unterstriche und Pluszeichen (+).

  • Sie haben keine Möglichkeit, eine Gruppenzuordnung zu aktualisieren, aber Sie haben die Möglichkeit, die Zuordnung zu löschen und eine neue hinzuzufügen.

Wichtig

Bevor föderierte Benutzer sich bei der Service-Web-UI anmelden können, müssen Sie ihnen die URL angeben. Stellen Sie sicher, dass Sie alle erforderlichen Gruppenzuordnungen konfiguriert haben. Andernfalls kann ein föderierter Benutzer keine Vorgänge in Private Cloud Appliance ausführen.

Gruppenzuordnungen erstellen

Führen Sie die folgenden Schritte für jede Identitätsprovidergruppe aus, die Sie zuordnen möchten:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf "IDP-Gruppenzuordnungen".

    Eine Liste der Identitätsprovidergruppenzuordnungen wird angezeigt.

  2. Klicken Sie auf "Gruppenzuordnung erstellen".

    Das IDP-Gruppenzuordnungsformular wird angezeigt

  3. Geben Sie im Feld "Name" einen Namen für das Mapping der IDP-Gruppe ein.

  4. Geben Sie im Feld "IDP-Gruppenname" den genauen Namen der Identitätsprovidergruppe ein.

  5. Wählen Sie in der Liste "Admin-Gruppenname" die Private Cloud Appliance-Gruppe aus, die Sie der Identitätsprovidergruppe zuordnen möchten.

  6. Sie können optional eine Beschreibung der Gruppe eingeben.

  7. Klicken Sie auf "IDP-Gruppenzuordnung erstellen".

    Die neue Gruppenzuordnung wird in der Liste angezeigt.

Gruppenzuordnungen aktualisieren

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf "IDP-Gruppenzuordnungen".

    Eine Liste der Identitätsprovidergruppenzuordnungen wird angezeigt.

  2. Klicken Sie für das Gruppenmapping, das Sie aktualisieren möchten, auf das Aktionssymbol (drei Punkte), und klicken Sie dann auf Bearbeiten.

    Das IDP-Gruppenzuordnungsformular wird angezeigt.

  3. Ändern Sie eines der folgenden Felder. Beachten Sie jedoch, dass sich eine Änderung dieser Informationen auf die Föderation auswirken kann.

    • Name

    • IDP-Gruppenname

    • Admin-Gruppenname

    • Beschreibung

  4. Klicken Sie auf "IDP-Gruppenzuordnung ändern".

    Die aktualisierte Gruppenzuordnung wird in der Liste angezeigt.

Gruppenzuordnung löschen

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf "IDP-Gruppenzuordnungen".

    Eine Liste der Identitätsprovidergruppenzuordnungen wird angezeigt.

  2. Klicken Sie für die Gruppenzuordnung, die Sie löschen möchten, auf das Aktionssymbol (drei Punkte) und dann auf "Löschen".

  3. Klicken Sie in der Eingabeaufforderung "IDP-Gruppenzuordnung löschen" auf "Bestätigen".