Hinweis:

• Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
• Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Ersetzen Sie diese Werte nach Abschluss der Übung durch Werte, die für Ihre Cloud-Umgebung spezifisch sind.

Single Sign-On zwischen Oracle Cloud Infrastructure Identity and Access Management und PingOne einrichten

Einführung

Durch die Einrichtung von Single Sign-On (SSO) zwischen PingOne und Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) können sich OCI-Administratoren nahtlos mit ihren PingOne-Zugangsdaten bei der OCI-Konsole anmelden.

PingOne fungiert als Identitätsprovider (IdP), authentifiziert Benutzer und übergibt sichere Authentifizierungstoken an OCI IAM, das als Serviceprovider (SP) fungiert. Durch diese Integration müssen Administratoren keine separaten OCI-Zugangsdaten verwalten, was die Sicherheit erhöht und die Zugriffsverwaltung vereinfacht.

In diesem Tutorial wird gezeigt, wie Sie OCI IAM als Serviceprovider (SP) mit PingOne integrieren und als IdP fungieren. Durch die Einrichtung der Föderation zwischen PingOne und OCI IAM ermöglichen Sie den Benutzerzugriff auf Services und Anwendungen in OCI über SSO.

Hinweis: Dieses Tutorial ist spezifisch für OCI IAM mit Identitätsdomains.

Ziele

• SSO zwischen OCI IAM und PingOne einrichten.

Voraussetzungen

• Zugriff auf einen OCI-Mandanten. Weitere Informationen finden Sie unter Oracle Cloud Infrastructure Free Tier.

• Identitätsdomainadministratorrolle für die OCI-IAM-Identitätsdomain. Weitere Informationen finden Sie unter Erläuterungen zu Administratorrollen.

• Eine PingOne-Umgebung mit aktiviertem PingOne SSO-Service. Außerdem benötigen Sie eine der folgenden Rollen:

  • Organisationsadministrator.
  • Umgebungsadministrator.
  • Clientanwendungsentwickler.

Aufgabe 1: Serviceprovider-Metadaten aus OCI IAM abrufen

Sie benötigen die SP-Metadaten aus der OCI-IAM-Identitätsdomain, um sie in die von Ihnen erstellte Security Assertion Markup Language-(SAML-)Anwendung PingOne zu importieren. OCI IAM bietet eine direkte URL zum Herunterladen der Metadaten der verwendeten Identitätsdomain.

So laden Sie die Metadaten herunter:

1. Öffnen Sie eine Browserregisterkarte, und geben Sie die URL ein: https://cloud.oracle.com.

2. Geben Sie Ihren Cloud-Accountnamen (auch als Mandantenname bezeichnet) ein, und wählen Sie Weiter aus.

3. Wählen Sie die Identitätsdomain aus, bei der Sie sich anmelden möchten. Dies ist die Identitätsdomain, mit der SSO konfiguriert wird. Beispiel: Default.

4. Melden Sie sich mit Ihrem Benutzernamen und Kennwort an.

5. Öffnen Sie das Navigationsmenü, und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.

   

6. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie auf Einstellungen und dann auf Domaineinstellungen.

   

7. Aktivieren Sie unter "Zugriff auf das Signaturzertifikat" die Option Clientzugriff konfigurieren. Wählen Sie Änderungen speichern aus. So kann ein Client auf die Signaturzertifizierung für die Identitätsdomain zugreifen, ohne sich bei der Domain anzumelden.

   

8. Kehren Sie zum Überblick über die Identitätsdomain zurück, indem Sie den Identitätsdomainnamen im Navigationspfad auswählen. Klicken Sie anschließend auf Sicherheit und dann auf Identitätsprovider. Klicken Sie auf SAML-Metadaten exportieren.

   

9. Stellen Sie sicher, dass Metadatendatei ausgewählt ist. Klicken Sie unter Metadaten mit selbstsignierten Zertifikaten auf XML herunterladen. Speichern Sie diese lokal auf Ihrem Rechner, dies sind die SP-Metadaten.

   

Aufgabe 2: SAML-Anwendung PingOne erstellen

In dieser Aufgabe erstellen wir in der Admin-Konsole PingOne eine SAML-Anwendung in PingOne.

1. Melden Sie sich im Browser mit der folgenden URL bei PingOne an: https://console.pingone.com/index.html?env=<your_environment_ID>

2. Klicken Sie unter Anwendungen auf Anwendungen und +, um eine neue Anwendung hinzuzufügen.

   

3. Geben Sie den Anwendungsnamen ein (z.B. OCI Admin Console), wählen Sie Anwendungstyp als SAML-Anwendung aus, und klicken Sie auf Konfigurieren.

4. Wählen Sie Metadaten importieren aus, und klicken Sie auf Datei auswählen. Wählen Sie die SP-Metadatendatei aus, die in Aufgabe 1.9 gespeichert ist. Wenn ACS-URLs und Entity-ID automatisch aufgefüllt werden, wurde die XML korrekt geparst. Klicken Sie auf Speichern.

   

Aufgabe 3: SAML-Anwendung konfigurieren

Richten Sie SSO für die SAML-Anwendung PingOne ein, und laden Sie die IdP-Metadaten herunter.

In dieser Aufgabe verwenden wir die SP-Metadatendatei, die Sie zuvor gespeichert haben, und richten auch die Attributzuordnungen ein.

1. Klicken Sie auf die Anwendung Konfiguration und dann oben rechts auf das Bearbeitungssymbol.

   

2. Ändern Sie unter Format für Betreff NameID die Auswahl in urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress, und klicken Sie auf Speichern.

   

3. Klicken Sie auf Attributzuordnungen und dann oben rechts auf das Bearbeitungssymbol.

4. Geben Sie unter Attribute saml_subject ein, ändern Sie die PingOne-Zuordnungen in E-Mail-Adresse, und klicken Sie auf Speichern.

   

5. Klicken Sie auf Überblick, scrollen Sie nach unten, und klicken Sie auf Metadaten herunterladen. Speichern Sie diese lokal auf Ihrem Rechner. Dies sind die IdP-Metadaten.

   

6. Die App aktivieren oder aktivieren.

Hinweis: Standardmäßig wird der Wert für NameID dem Benutzernamen in OCI IAM zugeordnet.

Aufgabe 4: Authentifizierungs-Policys und Benutzerzugriff einrichten

Im Falle einer Föderation wird empfohlen, MFA zusammen mit der gruppen- oder rollenbasierten Zugriffskontrolle einzurichten.

1. Klicken Sie auf Policys und dann oben rechts auf das Bearbeitungssymbol.

2. Klicken Sie auf + Policys hinzufügen, weisen Sie die Policys zu, die für Ihre Architektur relevant sind, und klicken Sie auf Speichern.

   

3. Klicken Sie oben rechts auf Access und das Bearbeitungssymbol.

4. Wählen Sie die Gruppen aus, die berechtigt sind, auf die App zuzugreifen. Überspringen Sie diesen Schritt, wenn Sie diese Einschränkung nicht durchsetzen möchten.

   

Aufgabe 5: PingOne als IdP für OCI IAM aktivieren

Bei diesen Schritten arbeiten Sie in OCI IAM. In diesem Abschnitt verwenden Sie die zuvor gespeicherte Metadatendatei IdP und richten außerdem die Attributzuordnungen ein.

1. Wählen Sie in der OCI-Konsole für die Domain, in der Sie arbeiten, Sicherheit und dann Identitätsprovider aus.

2. Wählen Sie IdP hinzufügen aus, und wählen Sie SAML IdP hinzufügen aus.

3. Geben Sie einen Namen für den SAML-IdP ein. Beispiel: PingOne. Wählen Sie Weiter aus.

4. Stellen Sie sicher, dass Identitätsprovider-Metadaten importieren ausgewählt ist. Wählen Sie die Datei PingOnemetadata.xml aus, die zuvor in den Identitätsprovider-Metadaten gespeichert wurde. Wählen Sie Weiter aus.

   

5. Legen Sie unter Benutzeridentität zuordnen Folgendes fest:

   • Wählen Sie unter Angefordertes NameID-Format die Option Email address aus.
   • Wählen Sie unter Benutzerattribut des Identitätsproviders die Option SAML assertion Name ID aus.
   • Wählen Sie unter Benutzerattribut der Identitätsdomain die Option Username aus.

   

6. Wählen Sie Weiter aus.

7. Prüfen Sie unter Prüfen und erstellen die Konfiguration, und wählen Sie Erstellen IdP aus.

8. Klicken Sie unter IdP aktivieren auf Aktivieren, und klicken Sie unten auf Schließen.

9. Gehen Sie unter Sicherheit zu IdP-Policys, und klicken Sie auf IdP-Policy erstellen.

   

10. Geben Sie einen Namen an, und klicken Sie auf Policy hinzufügen. Beispiel: PingOne IdP

11. Klicken Sie auf Regel IdP hinzufügen, und geben Sie einen Namen ein. Beispiel: Default.

12. Wählen Sie unter Identitätsprovider zuweisen die Option PingOne aus. Außerdem können Sie bestimmte Gruppen ansprechen oder Benutzer für diese IdP ausschließen. Klicken Sie auf Regel IdP hinzufügen und Weiter.

    

13. (Optional) Wenn Sie diese Policy so einschränken müssen, dass sie nur auf bestimmte Apps angewendet wird, fügen Sie sie unter Apps hinzufügen hinzu.

14. Wählen Sie Schließen.

Aufgabe 6: SSO zwischen PingOne und OCI testen

Hinweis: Damit dies funktioniert, muss der SSO-Benutzer sowohl in OCI IAM als auch in PingOne mit einer gültigen E-Mail-Adresse vorhanden sein.

In dieser Aufgabe können Sie testen, ob die föderierte Authentifizierung zwischen OCI IAM und PingOne funktioniert.

1. Öffnen Sie eine Browserregisterkarte, und geben Sie die OCI-Konsolen-URL ein: https://cloud.oracle.com.

2. Geben Sie Ihren Cloud-Accountname (auch als Mandantenname bezeichnet) ein, und klicken Sie auf Weiter.

3. Wählen Sie die Identitätsdomain aus, in der die Föderation PingOne konfiguriert wurde.

4. Auf der Anmeldeseite wird eine Option zur Anmeldung bei PingOne angezeigt. Klicken Sie auf PingOne, und Sie werden zur Anmeldeseite PingOne umgeleitet.

   

5. Geben Sie Ihre PingOne-Zugangsdaten an.

Nach erfolgreicher Authentifizierung werden Sie bei der OCI-Konsole angemeldet.

Danksagungen

• Autor - Tonmendu Bose (Senior Cloud Engineer)

Weitere Lernressourcen

Sehen Sie sich andere Übungen zu docs.oracle.com/learn an, oder greifen Sie im Oracle Learning YouTube-Channel auf weitere kostenlose Lerninhalte zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Set up Single Sign-On Between Oracle Cloud Infrastructure Identity and Access Management and PingOne

G27809-01

March 2025

Copyright ©2025, Oracle and/or its affiliates.