Anmeldeautomatisierung ohne Screen Scraping nach der Migration zu OCI-IAM-Identitätsdomains aktivieren

Hinweis:

Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zum Registrieren eines kostenlosen Accounts finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Wenn Sie Ihre Übung abgeschlossen haben, ersetzen Sie diese Werte durch spezifische Werte für Ihre Cloud-Umgebung.

Einführung

Oracle fusionierte die Funktionen von Oracle Identity Cloud Service mit dem nativen Oracle Cloud Infrastructure Identity and Access Management-(OCI IAM-)Service. Auf diese Weise können Oracle Cloud-Kunden ein umfassendes Set an Identity and Access Management-(IAM-)Features der Unternehmensklasse für OCI-, Oracle Cloud- und Drittanbieteranwendungen nutzen.

Mit dieser Änderung können sich Kunden, die ihre PAM-Lösungen (Privilege Access Management) in Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) integriert haben oder sich mit UI-Automatisierung bei OCI mit lokalen Accounts anmelden oder bei externen Identitätsprovidern (IDPs) oder bei der Verwendung von Screen Scraping auf einem anderen OCI IAM-Bildschirm können Probleme auftreten, bei denen ihre Automatisierungsskripte aufgrund der Bildschirmänderungen fehlschlagen oder falsche Ergebnisse liefern.

Was ist Screen Scraping?

Eine Technik zur automatisierten Durchführung von Endbenutzerinteraktionen auf einer Website mithilfe eines Softwaretools. Alle Interaktionen in der UI, wie die Eingabe von Daten in das UI-Formular, Schaltflächenklicks und Navigation, werden vom Tool ausgeführt.

Entfernen von UI-Automatisierungsansätzen basierend auf Screen Scraping

Wir empfehlen, das Scraping aller OCI IAM-Bildschirme zu vermeiden. OCI IAM basiert auf dem API-First-Ansatz und Sie können die APIs verwenden, um jede Aufgabe zu implementieren, die Sie über die Konsole ausführen. SDK, CLI, APIs und terraform sind verfügbar. Identifizieren Sie die Vorgänge, die Sie für Bildschirmscraping ausführen, und finden Sie das Äquivalent, um dasselbe mit APIs, SDK, CLI oder terraform zu tun. Wir fügen unseren terraform-, SDK- und CLI-Collections weitere APIs hinzu. Wenn in SDK/CLI/terraform kein Vorgang verfügbar ist, verwenden Sie die Domain-REST-APIs. Dokumentationslinks für schnellen Zugriff:

OCI IAM-Identitätsdomain - alle REST-Endpunkte

Hinweis: Wenn Sie Oracle Identity Cloud Service verwenden, sind diese APIs auch in Oracle Identity Cloud Service verfügbar. Jede mit diesen APIs erstellte Integration funktioniert nach der Migration zu den Identitätsdomains AS IS. Daher können Sie planen, den Bildschirmscraping-Vorgang zu identifizieren und stattdessen die entsprechenden APIs zu verwenden, damit Sie keine Auswirkungen auf die Migration zu Identitätsdomains haben.
OCI-IAM-Identitätsdomain-CLI
OCI-IAM-SDK

Zielsetzung

In diesem Tutorial werden typische Szenarios behandelt, in denen Bildschirmscraping von OCI IAM-UI-Seiten verwendet wird, und die Lösung zum Entfernen bereitgestellt.

Szenario 1: Melden Sie sich beim externen Identitätsprovider (IdP) an, wie Azure, Okta und OCI IAM.

Kunden, die OCI IAM mit externem IdPs föderiert und die UI-Automatisierung der OCI IAM IdP-Auswahl durchgeführt haben, wie im folgenden Screenshot gezeigt. Hier wählt das Kundenautomatisierungstool IdP aus der Liste aus, und klicken Sie auf Weiter, um zur Anmeldeseite IdP zu navigieren. Kunden können das Scraping dieser Seite entfernen, indem sie in ihrem Tool Änderungen vornehmen, um direkt zur externen IdP zu navigieren und diese Seite vollständig zu überspringen.

Lösung

In OCI IAM können Sie mit dem Abfrageparameter direkt zum konfigurierten IDP wechseln. Dadurch wird sichergestellt, dass keine Abhängigkeit von den Änderungen in der OCI-IAM-Anmelde-UI heute und in Zukunft besteht. Die direkte URL zum Navigieren zu einer externen IdP lautet https://cloud.oracle.com/?tenant=<tenant_name>&provider=<provider_id>. Dabei gilt:
- <tenant_name>: Name des Mandanten.
- <provider_id>: Name eines externen IDP, der in der Dropdown-Liste der Anmeldeseite angezeigt wird.
Beispiel: Für den obigen Screenshot lautet die direkte URL für die IDPs:
- Okta - https://cloud.oracle.com/?tenant=iaamdemo&provider=oktaidp
- Azure - https://cloud.oracle.com/?tenant=iaamdemo&provider=azure-ad
Wenn Sie oben genannte Änderungen in Ihrer Umgebung vornehmen, funktioniert Ihre vorhandene Lösung nach der Migration, da Sie nicht mehr von der OCI-IAM-UI vor oder nach der Migration abhängig sind.
Nach der Migration haben Sie auch die Möglichkeit, die vorhandene Föderation in die Identitätsdomain zu verschieben. Sie können weiterhin die OCI IAM-Anmelde-UI überspringen, indem Sie direkt zur Domain gehen, indem Sie eine IDP-Policy definieren, an die nur ein IDP angehängt ist.

Szenario 2: Anwendungsfall für Benutzerkennwort ändern

Kunden, die UI-Automatisierung verwenden, um das Benutzerkennwort aus dem Profilmenü zu ändern. In der Regel müssen Kunden, die PAM verwenden, das lokale OCI-IAM-Benutzerkennwort regelmäßig ändern und verifizieren, wobei Kennwörter vom PAM-Tool verwaltet werden, und Endbenutzer einchecken und ihr Kennwort aus dem Tool auschecken, um sich anzumelden.

Es gibt APIs zum Zurücksetzen des Konsolenkennworts in OCI IAM, aber es erstellt ein temporäres Kennwort, das erneut in die UI eingegeben werden muss, um das Endbenutzerkennwort zu ändern. Daher muss der Kunde Bildschirm scrap die Benutzeroberfläche für Kennwortänderungen, in der sie das Kennwort auf einen bekannten Wert zurücksetzen können, und der Endbenutzer dann das Kennwort aus dem Drittanbietertool ein- und auschecken kann.

Lösung

Mit Identitätsdomains können Sie die Verwendung der UI-Automatisierung vermeiden, um das Kennwort zu ändern, und stattdessen die Identitätsdomain-REST-API verwenden, um das Kennwort in einen bekannten Wert zu ändern und das vorhandene Kennwort im PAM-Tool zu prüfen. Im Folgenden finden Sie das REST-APIs-Dokument für schnellen Zugriff.

Hinweis: Diese Änderung muss nach der Migration vorgenommen werden, bei der lokale OCI-IAM-Benutzer in die Standardidentitätsdomain migriert werden.

Kunden, die das Scraping der Out-of-the-box-Anmeldeseite für Oracle Identity Cloud Service ausführen, wie im folgenden Screenshot gezeigt. Wir empfehlen, herauszufinden, welche Vorgänge Sie in der OCI-Konsole ausführen, und stattdessen APIs zu verwenden. Wenn Sie jedoch weiterhin Bildschirmscraping der Oracle Identity Cloud Service-Anmeldeseite ausführen möchten, werden die folgenden Elemente für die Schaltfläche "Benutzername", "Kennwort" und "Weiterleiten" verwendet.

Elementname für Benutzername: idcs-signin-basic-signin-form-username
Elementname für Kennwort: idcs-signin-basic-signin-form-password|input
Elementname für Weiterleitung: idcs-signin-basic-signin-form-submit

Nachdem Ihr Mandant in die Identitätsdomain migriert wurde, ersetzt die Anmeldeseite der Identitätsdomain die Oracle Identity Cloud Service-Anmeldeseite und verwendet dieselben Elemente. Wenn sich Ihr Automatisierungstool daher nur auf die oben genannten UI-Elemente stützt, sollte Ihre vorhandene Lösung nach der Migration unverändert funktionieren. Die Oracle Identity Cloud Service-URL bleibt nach der Migration unverändert. Wir empfehlen Ihnen, Ihre Lösung und die neuen Elemente der Anmeldeseite der Identitätsdomain zu prüfen, wenn Sie andere Elemente der vorhandenen Anmeldeseite verwenden.

Kunden, die ein Bildschirmscraping für die OCI IAM-Anmeldeseite ausführen, wie im folgenden Screenshot gezeigt. Wir empfehlen, herauszufinden, welche Vorgänge Sie in der OCI-Konsole ausführen, und stattdessen APIs zu verwenden. Wenn Sie jedoch weiterhin Bildschirmscraping ausführen möchten, verwendet die OCI IAM-Anmeldeseite die folgenden UI-Elemente.

Elementname für Benutzername: username
Elementname für Kennwort: password
Elementname für Weiterleitung: submit-native
Elementname zum Umschalten: native-toggle-trigger

Nachdem Ihr Mandant in die Identitätsdomain migriert wurde, ersetzt die Anmeldeseite der Domain die lokale Anmeldeseite für OCI IAM und verwendet verschiedene Elemente. Daher wird Ihre vorhandene Lösung unterbrochen, und Ihre Tools müssen stattdessen nach den folgenden Elementen suchen.

Elementname für Benutzername: username, durch idcs-signin-basic-signin-form-username ersetzen
Elementname für Kennwort: password, durch idcs-signin-basic-signin-form-password|input ersetzen
Elementname für Weiterleitung: submit-native, durch idcs-signin-basic-signin-form-submit ersetzen
Elementname zum Umschalten: native-toggle-trigger, Keine, auf der neuen Anmeldeseite ist keine Umschaltschaltfläche vorhanden.

Nachdem Sie zur OCI-IAM-Identitätsdomain migriert haben, wird eine neue Seite hinzugefügt, wie im folgenden Screenshot dargestellt, auf der Sie die Domain aufrufen können. Hier müssen Sie auch nicht die Domainauswahlseite als Scraping anzeigen. Stattdessen können Sie die Domainanmeldeseite mit dieser URL direkt aufrufen: https://cloud.oracle.com/?tenant=<tenant_name>&domain=<domain_name>, wo

<tenant_name>: Name des Mandanten.
<domain_name>: Name der Domain.

Wenn Sie andere Elemente der OCI IAM-Anmeldeseite verwenden, empfehlen wir Ihnen, Ihre Lösung und die neuen Elemente der Anmeldeseite für die Identitätsdomain zu prüfen.

Danksagungen

Autoren: Matt Flynn, Sunil Joshi (OCI IAM)

Weitere Lernressourcen

Lernen Sie andere Übungen auf docs.oracle.com/learn kennen, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube Channel zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um Oracle Learning Explorer zu werden.

Produktdokumentation finden Sie im Oracle Help Center.

Titel und Copyright-Informationen

Enable Sign In Automation Without Screen Scraping After Migration to OCI IAM Identity Domains

F88985-01

November 2023