Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Ersetzen Sie diese Werte nach Abschluss der Übung durch Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Single Sign-On und Benutzer-Provisioning zwischen OCI IAM und JumpCloud einrichten

Einführung

Durch die Einrichtung von Single Sign-On (SSO) zwischen Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) und JumpCloud können sich OCI-Administratoren nahtlos mit ihren JumpCloud-Zugangsdaten bei der OCI-Konsole anmelden. Darüber hinaus kann durch das Benutzer-Provisioning über RESTful-APIs die Echtzeitsynchronisierung von JumpCloud zu OCI erreicht werden.

Dieses Tutorial zeigt, wie OCI IAM mit JumpCloud integriert werden kann, indem eine SAML-(Security Assertion Markup Language-)Föderation und eine SCIM-(System for Cross-Domain Identity Management-)2.0-Verbindung eingerichtet werden.

Darüber hinaus können nach der Einrichtung von SSO und der Synchronisierung von Identitäten OCI-IAM-Policys definiert werden, um Zugriffskontrollen für verschiedene OCI-Ressourcen einzurichten. Weitere Informationen finden Sie unter Erste Schritte mit Policys und Tiefen Sie die tagbasierten Oracle Cloud Infrastructure Identity and Access Management-Policys ein.

Hinweis: Dieses Tutorial ist spezifisch für OCI IAM mit Identitätsdomains.

Ziele

• SAML-basiertes SSO für die Zugriffsverwaltung einrichten

• Richten Sie das SCIM 2.0-Provisioning für das Identity Management ein.

• Testen und validieren.

Voraussetzungen

• Zugriff auf einen OCI-Mandanten. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.

• Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Weitere Informationen finden Sie unter Administratorrollen.

• Eine JumpCloud-Organisation.

• Administratorrolle in der Organisation JumpCloud.

Hinweis: Bei der Verwendung des OCI-Angebots in den JumpCloud-Integrationen sind Inkonsistenzen bei den Benutzererstellungs-/Aktualisierungsaktionen aufgetreten. Daher verwenden wir für dieses Tutorial stattdessen die benutzerdefinierte Anwendung.

Abschnitt 1: SAML-basiertes SSO für Access Management einrichten

JumpCloud fungiert als Identitätsprovider (IdP), authentifiziert Benutzer und übergibt Authentifizierungstoken sicher an OCI IAM, das als Serviceprovider (SP) fungiert. Um SAML-Föderation einzurichten, müssen Metadaten von beiden Parteien ausgetauscht werden.

Aufgabe 1.1: Serviceprovider-Metadaten aus OCI IAM abrufen

Die SP-Metadaten aus der OCI-IAM-Identitätsdomain werden zuerst exportiert.

1. Öffnen Sie eine Browserregisterkarte, und geben Sie die URL ein: https://cloud.oracle.com.

2. Geben Sie Cloud-Accountname (auch als Mandantenname bezeichnet) ein, und klicken Sie auf Weiter.

3. Wählen Sie die Identitätsdomain aus, bei der Sie sich anmelden möchten. Dies ist die Identitätsdomain, mit der SSO konfiguriert wird. Beispiel: Default.

4. Geben Sie die Administratorzugangsdaten ein, um sich bei der OCI-Konsole anzumelden.

5. Navigieren Sie zu Identität und Sicherheit, gehen Sie zu Identität, und klicken Sie auf Domains.

   

6. Klicken Sie auf den Namen der Identitätsdomain. Wenn die Domain nicht sichtbar ist, ändern Sie das Compartment, um die richtige Domain zu finden.

   

7. Klicken Sie auf Sicherheit, Identitätsprovider und SAML-Metadaten exportieren.

   

8. Wählen Sie Metadatendatei aus. Klicken Sie unter Metadaten mit selbstsignierten Zertifikaten auf XML herunterladen, und speichern Sie diese XML-Datei lokal auf dem Computer. Hierbei handelt es sich um die SP-Metadaten.

   

Aufgabe 1.2: SSO-Anwendung erstellen

SSO-Anwendung wird im Portal JumpCloud erstellt, um die OCI-Konsole darzustellen.

1. Melden Sie sich im Browser mit der folgenden URL beim Portal JumpCloud an: https://console.jumpcloud.com/login

2. Wählen Sie unter Benutzerauthentifizierung die Option SSO-Anwendungen aus, und klicken Sie auf Erste Schritte.

   

3. Klicken Sie unter Benutzerdefinierte Anwendung auf Auswählen und dann auf Weiter.

   

4. Wählen Sie Single Sign-On (SSO) verwalten, SSO mit SAML konfigurieren aus. Wählen Sie Benutzer in diese App exportieren (Identity Management) aus, und klicken Sie auf Weiter.

   

5. Geben Sie unter Anzeigelabel einen Namen ein (z.B. OCI Console), und klicken Sie auf Anwendung speichern. Klicken Sie anschließend auf Anwendung konfigurieren.

   

Aufgabe 1.3: SSO-Anwendung konfigurieren

SSO-Konfiguration ist für die neu erstellte benutzerdefinierte Anwendung erforderlich.

1. Klicken Sie auf der Registerkarte SSO unter Serviceprovider-Metadaten auf Metadaten hochladen, und wählen Sie die SP-Metadatendatei aus, die in Aufgabe 1.1.8 gespeichert ist.

   

2. Wenn die SP-Entity-ID und die ACS-URLs automatisch aufgefüllt werden, wurde die XML-Datei korrekt geparst.

   Klicken Sie unter JumpCloud-Metadaten auf Metadaten exportieren, und speichern Sie diese XML-Datei lokal auf dem Computer. Dies sind die IdP-Metadaten. Klicken Sie anschließend auf Speichern.

   

Aufgabe 1.4: JumpCloud als IdP für OCI IAM aktivieren

Eine neue IdP wird erstellt, die JumpCloud darstellt. Anschließend wird die IdP-Policy so eingerichtet, dass die SSO-Authentifizierung aktiviert wird.

1. Navigieren Sie in der OCI-Konsole zur Domain, wählen Sie Sicherheit aus, und klicken Sie auf Identitätsprovider.

2. Wählen Sie IdP hinzufügen aus, und klicken Sie auf SAML IdP hinzufügen.

   

3. Geben Sie einen Namen (z.B. JumpCloud) für die SAML IdP ein, und klicken Sie auf Weiter.

   

4. Stellen Sie sicher, dass Sie IdP-Metadaten importieren auswählen. Laden Sie unter Identitätsprovider-Metadaten hochladen die IdP-Metadaten aus Aufgabe 1.3.2 hoch, und klicken Sie auf Weiter.

   

5. Geben Sie unter Benutzeridentität zuordnen die folgenden Informationen ein, und klicken Sie auf Weiter.

   • Angefordertes NameID-Format: Wählen Sie Keine aus.
   • Benutzerattribut des Identitätsproviders: Wählen Sie ID des SAML-Assertion-Namens aus.
   • Benutzerattribut der Identitätsdomain: Wählen Sie Benutzername aus.

   

6. Prüfen Sie unter Prüfen und erstellen die Konfiguration, und klicken Sie auf Erstellen IdP.

   

7. Klicken Sie auf Aktivieren, Zu IdP-Policy hinzufügen.

   

   Hinweis: Standardmäßig ist in einer Domain, mit der keine Apps verknüpft sind, nur eine Standard-Policy IdP vorhanden. Dies bedeutet im Wesentlichen, dass alle Apps in den Geltungsbereich dieser Policy fallen, einschließlich der OCI-Konsole. Wenn die Domain über benutzerdefinierte IdP-Policys verfügt, die bestimmte Apps separat ansprechen, müssen Sie die Regeln nach Bedarf hinzufügen, um die OCI-Konsole als Ziel festzulegen. Gehen Sie vorsichtig vor, da jede Fehlkonfiguration zu einer Sperrung führen kann.

8. Klicken Sie auf Policy IdP erstellen.

   

9. Geben Sie unter Policy hinzufügen den Namen ein (z.B. OCI Console), und klicken Sie auf Policy hinzufügen.

   

10. Klicken Sie unter Identitätsproviderregeln hinzufügen auf Regel IdP hinzufügen, und geben Sie den Regelnamen ein. Beispiel: OCI Console access rule.

    Wählen Sie unter Identitätsprovider zuweisen die Optionen Benutzername-Kennwort und JumpCloud aus. Klicken Sie anschließend auf IdP-Regel hinzufügen und dann auf Weiter.

    

    Hinweis: Die Option Benutzername-Kennwort wird hinzugefügt, um die lokale Authentifizierung beizubehalten. Dadurch wird eine Sperrung vermieden, falls Probleme in den Föderationseinstellungen auftreten.

11. Klicken Sie auf App hinzufügen, suchen Sie die OCI-Konsole, und wählen Sie sie in der Liste aus. Klicken Sie auf App hinzufügen und dann auf Schließen.

    

Abschnitt 2: SCIM 2.0-basiertes Benutzer-Provisioning einrichten

Das Benutzerlebenszyklusmanagement wird zwischen JumpCloud und OCI IAM konfiguriert, wobei JumpCloud als Identitätsspeicher fungiert. Stellen Sie sicher, dass alle Benutzer, die für das Provisioning des Downstreams bestimmt sind, entsprechende Werte für die folgenden Attribute enthalten:

• Vorname
• Nachname
• E-Mail-Adresse der Firma
• Anzeigename
• Geschäftsadresse (Land)
• Arbeitsort
• Bundesland Arbeit
• Straße/Adresse der Geschäftsadresse
• Postleitzahl

Hinweis: Die Zuordnung von Firmen-E-Mail zum Benutzernamen stellt die Konsistenz in SAML-Betreff/NameID sicher und ist erforderlich, damit SSO funktioniert. Beispiel:

<saml2:Subject><saml2:NameID Format="urn:oasis:names:tc:SAML:1.0:nameid-format:unspecified">XXX+test4@oracle.com</saml2:NameID> 

Aufgabe 2.1: Vertrauliche Anwendung in OCI IAM erstellen und Secret-Token generieren

Ein OAuth 2.0-Client ist in OCI IAM registriert. Entsprechende Abläufe sind aktiviert, und Berechtigungen werden erteilt. Die Zugangsdaten für diesen Client werden gesammelt.

1. Gehen Sie zur OCI-Konsole, navigieren Sie zu Domains, und wählen Sie die Domain aus, die in Abschnitt 1 verwendet wurde.

2. Gehen Sie zu Integrierte Anwendungen, wählen Sie Anwendung hinzufügen, Vertrauliche Anwendung aus, und klicken Sie auf Workflow starten.

   

3. Geben Sie Name (z.B. SCIMclient) für die vertrauliche Anwendung ein, und klicken Sie auf Weiter.

4. Wählen Sie im Abschnitt Clientkonfiguration die Option Diese Anwendung jetzt als Client konfigurieren aus, und wählen Sie unter Autorisierung die Option Clientzugangsdaten aus.

   

5. Wählen Sie Anwendungsrollen hinzufügen aus, und klicken Sie auf Rollen hinzufügen. Wählen Sie auf der Seite Anwendungsrollen hinzufügen die Option Benutzeradministrator aus, und klicken Sie auf Hinzufügen.

   

6. Klicken Sie auf Weiter, Fertigstellen.

7. Klicken Sie auf Aktivieren, um die neue Anwendung zu aktivieren.

   

8. Notieren Sie sich im Abschnitt Allgemeine Informationen die Client-ID und das Client Secret, und wählen Sie Secret anzeigen aus, um den Nur-Text anzuzeigen.

   

9. Das Secret-Token ist die base64-Codierung von clientID und clientsecret.

   • Öffnen Sie unter Windows PowerShell, und führen Sie den folgenden Befehl aus, um die base64-Codierung zu generieren.

     [Convert]::ToBase64String([System.Text.Encoding]::Unicode.GetBytes('client_id:secret')) 

   • Verwenden Sie für MacOS Terminal, um den folgenden Befehl auszuführen.

     echo -n <clientID>:<clientsecret> | base64 

     Das Secret-Token wird zurückgegeben. Beispiel:

     echo -n 392357752xxxx7523923457437:3454-9853-7843-3554 | base64 Nk0NzUyMzxxxxxxxxxxxxxxxMzMtNTQzNC05ODc4LTUzNQ== 

   

10. Notieren Sie sich das Secret Token.

Aufgabe 2.2: OCI-IAM-GUID suchen

Die SCIM-Endpunktdetails sind für den Client erforderlich, um API-Aufrufe auszuführen.

1. Gehen Sie zur OCI-Konsole, navigieren Sie zu Domains, und wählen Sie die Domain aus, die in Abschnitt 1 verwendet wurde.

2. Wählen Sie unter Domaininformationen neben der Domain-URL die Option Kopieren aus, und notieren Sie sich dies. Die Tabelle sollte wie folgt aussehen:

   https://<IdentityDomainID>.identity.oraclecloud.com:443 

3. Fügen Sie /admin/v1 am Ende der URL hinzu. Die letzte URL sollte wie folgt aussehen:

   https://<IdentityDomainID>.identity.oraclecloud.com:443/admin/v1 

4. Notieren Sie die URL.

Aufgabe 2.3: Identity Management in der Anwendung JumpCloud konfigurieren

Gehen Sie zu JumpCloud, und der SCIM-Endpunkt und die Zugangsdaten für OAuth 2.0 werden aufgefüllt.

1. Öffnen Sie die in Aufgabe 1.1.2 erstellte SSO-App, und gehen Sie zu Identitätsmanagement.

2. Geben Sie die folgenden Informationen ein, und klicken Sie auf Verbindung testen.

   • API-Typ: Wählen Sie SCIM-API aus.
   • SCIM-Version: Wählen Sie SCIM 2.0 aus.
   • Basis-URL: Geben Sie die Basis-URL aus Aufgabe 2.2.4 ein.
   • Tokenschlüssel: Geben Sie das Secret-Token ein, das aus Aufgabe 2.1.10 generiert wurde.
   • Benutzer-E-Mail testen: Geben Sie eine E-Mail für einen Benutzer im Verzeichnis JumpCloud ein.

   

   Hinweis: Wenn die Verbindung erfolgreich hergestellt wurde, ist die Anpassung des SCIM-Benutzerattributs verfügbar. Gruppen werden standardmäßig mit OCI synchronisiert. Dies kann jedoch geändert werden, indem Gruppenverwaltung deaktiviert wird.

3. Klicken Sie unter SCIM-Attributname auf + Attribut hinzufügen, um die Attributzuordnungen basierend auf dem folgenden Bild zu erstellen. Klicken Sie anschließend auf Aktivieren.

   

4. Es muss eine Benachrichtigung über die verifizierte Verbindung vorhanden sein. Klicken Sie auf Speichern.

   

Aufgabe 2.4: Gruppen der Anwendung JumpCloud zuweisen

Hinweis: Erstellen Sie als Voraussetzung die Gruppen für OCI-Administratoren in JumpCloud, bevor Sie fortfahren.

Jetzt sind die Gruppen, die Zugriff auf Oracle-Ressourcen benötigen, für das Provisioning ausgerichtet.

1. Öffnen Sie die SSO-App, und gehen Sie zur Registerkarte Benutzergruppen.

2. Wählen Sie die Gruppen aus, die in OCI bereitgestellt werden müssen, und klicken Sie auf Speichern.

   

Abschnitt 3: Testen und validieren

Hinweis: Damit SSO funktioniert, muss der SSO-Benutzeraccount sowohl in OCI IAM als auch in JumpCloud vorhanden sein.

Schließlich werden die synchronisierten Identitäten validiert und die föderierte Authentifizierung getestet.

1. Öffnen Sie einen der Benutzer in der JumpCloud- und der OCI-Konsole, um die Übereinstimmung der Details zu validieren.

   

   

2. Wiederholen Sie denselben Prozess, um die Synchronisierung der Gruppen zu prüfen.

   

   

Hinweis: Nachdem die Identitäten synchronisiert wurden, validieren wir die SSO-Anmeldung.

1. Öffnen Sie in einem neuen Browserfenster die OCI-Konsole. Geben Sie Cloud-Accountname (auch als Mandantenname bezeichnet) ein, und klicken Sie auf Weiter.

2. Wählen Sie die Identitätsdomain aus, in der die Föderation JumpCloud konfiguriert wurde.

3. Wählen Sie auf der Seite Anmeldung bei Oracle Cloud-Account die Option JumpCloud aus. Es sollte eine Umleitung zur Anmeldeseite JumpCloud erfolgen.

   

4. Geben Sie die JumpCloud-Zugangsdaten für den föderierten Benutzer ein. Nach erfolgreicher Authentifizierung sollte eine Umleitung zurück zur OCI-Konsole erfolgen.

Schlussfolgerung

Durch diese Integration müssen Administratoren keine separaten OCI-Zugangsdaten verwalten, was die Sicherheit erhöht und die Zugriffsverwaltung vereinfacht. Dies hilft auch beim Identitätsmanagement, reduziert den administrativen Overhead und eliminiert Redundanz.

Danksagungen

• Autor - Tonmendu Bose (Senior Cloud Engineer)

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie im Oracle Learning YouTube-Channel auf weitere kostenlose Lerninhalte zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Set up Single Sign-On and User Provisioning between OCI IAM and JumpCloud

G33635-01

Copyright ©2025, Oracle and/or its affiliates.