Hinweis:
- Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zur Registrierung für einen kostenlosen Account finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
- Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. In der Übung ersetzen Sie diese Werte durch die Werte, die für Ihre Cloud-Umgebung spezifisch sind.
OCI Search mit OpenSearch-SAML-Authentifizierung über Okta konfigurieren
Einführung
In modernen Unternehmensumgebungen vereinfacht Single Sign-On (SSO) die Verwaltung des Benutzerzugriffs und verbessert die Sicherheit. Oracle Cloud Infrastructure OCI Search with OpenSearch unterstützt die SAML 2.0-Authentifizierung und ermöglicht eine nahtlose Integration mit Identitätsprovidern wie Okta.
In diesem Tutorial erfahren Sie, wie Sie Okta mit der SAML 2.0-Authentifizierung als SSO-Provider für OCI Search with OpenSearch Dashboard konfigurieren.
Ziele
Am Ende dieses Tutorials haben Sie folgende Möglichkeiten:
- Okta-SAML 2.0-Anwendung für OCI Search mit OpenSearch konfigurieren
- SAML-Authentifizierung in OCI Search mit OpenSearch-Cluster aktivieren
- Gruppenbasierte Okta-Rollenzuordnung für Zugriff auf OpenSearch-Dashboard aktivieren
- SSO-Anmeldung über Okta testen und prüfen
Voraussetzungen
Stellen Sie Folgendes sicher, bevor Sie beginnen.
- Eine betriebliche OCI-Suche mit OpenSearch-Cluster
- Okta-Admin-Zugriff
- Eine Okta-Gruppe mit dem Namen
opensearch-admins - Ein Okta-Benutzer, der der Gruppe
opensearch-adminszugewiesen ist
Tipp: Halten Sie Ihre
<DS_URL>bereit. Sie werden sie in mehreren Schritten wiederverwenden.
Aufgabe 1: OCI-Suche mit OpenSearch-Dashboard-URL abrufen
- Melden Sie sich bei der OCI-Konsole an.
- Navigieren Sie zur Seite "OCI Search with OpenSearch-Clusterdetails".
-
Kopieren Sie die Dashboard-URL. In diesem Tutorial wird dies als
<DS_URL>bezeichnet.
Aufgabe 2: Okta-SAML-Anwendung konfigurieren
Schritt 1: SAML 2.0-Anwendung erstellen
- Melden Sie sich bei der Okta-Admin-Konsole an.
- Klicken Sie auf Anwendungsintegration erstellen.
- Wählen Sie SAML 2.0 als Anwendungstyp aus.
- Geben Sie einen aussagekräftigen Anwendungsnamen an.
Schritt 2: SAML-Einstellungen konfigurieren
Geben Sie folgende Werte ein:
- Single Sign-On-URL:
<DS_URL>/_opendistro/_security/saml/acs - Zielgruppen-URI (SP-Entity-ID):
<DS_URL> - Standard-Relay-Status: Leer lassen
- Namens-ID-Format: EmailAddress
- Anwendungsbenutzername: E-Mail
- Anwendungsbenutzernamen aktualisieren: Erstellen und aktualisieren (Standard)
Schritt 3: Attribute konfigurieren
Benutzerattribute
- Name: NameID
- Namensformat: Nicht angegeben
- Wert:
user.email
Gruppenattribute
- Name: Gruppe
- Namensformat: Nicht angegeben
- Filter: Beginnt mit → opensearch
Schritt 4: Benutzer zuweisen und Metadaten abrufen
- Weisen Sie die Anwendung der Gruppe
opensearch-adminszu. - Navigieren Sie zur Registerkarte Anmelden.
- Klicken Sie auf SAML-Setupanweisungen anzeigen.
- Halten Sie diese Seite für den nächsten Schritt geöffnet.
Schritt 5: OCI Search mit OpenSearch SAML konfigurieren
-
Stellen Sie sicher, dass das OpenSearch-Cluster auf den Sicherheitsmodus
ENFORCINGgesetzt ist.
- Öffnen Sie in der OCI-Konsole Ihr OpenSearch-Cluster, und klicken Sie auf Weitere Aktionen.
-
Wählen Sie SAML-Authentifizierung hinzufügen aus.
-
Konfigurieren Sie die folgenden Parameter:
- SAML-Authentifizierung deaktivieren: Auf OFF setzen
- Metadateninhalt: XML aus Okta-Setupanweisungen kopieren
- Entity-ID: Kopie von Identitätsprovideraussteller in Okta
- Dashboard-URL:
<DS_URL> - Admin-Backend-Rolle:
opensearch-admins - Rollenschlüssel:
group
3. Aufgabe: Integration Test
- Öffnen Sie die OCI Search with OpenSearch Dashboard-URL (
<DS_URL>). - Sie werden zur Anmeldung zu Okta weitergeleitet.
- Melden Sie sich mit einem Benutzer aus der Gruppe
opensearch-adminsan. - Nach erfolgreicher Authentifizierung erhalten Sie Admin-Zugriff auf das OCI Search with OpenSearch Dashboard.
Fehlerbehebung und Tipps
Hinweis: Wenn der Fehler "Keine Rollen für diesen Benutzer verfügbar" auftritt, prüfen Sie Folgendes:
- Die Gruppe
opensearch-adminsist der Okta-Anwendung zugewiesen- Der Benutzer gehört zu dieser Gruppe
- Der Gruppenname stimmt genau mit der OCI Search with OpenSearch-Konfiguration überein
- Der Rollenschlüssel ist auf
groupgesetzt.
Tipp: Nachdem Sie SAML aktiviert haben, kann das OCI Search with OpenSearch-Dashboard neu gestartet werden. Warten Sie einige Minuten, um es erneut zu versuchen. Wenn weiterhin Probleme auftreten, löschen Sie den Browsercache, oder verwenden Sie ein Inkognito-Fenster.
Hinweis: Wenn Sie den Sicherheitsmodus "OCI Search with OpenSearch" in
ENFORCINGändern, nachdem das SAML-Setup die vorhandene Konfiguration zurückgesetzt hat. Aktivieren Sie diesen Modus immer vor der Integration mit Okta.
Nächste Schritte
Nachdem Sie die SAML-Authentifizierung zwischen Okta und OCI Search mit OpenSearch erfolgreich konfiguriert haben, beachten Sie Folgendes:
- Zusätzliche rollenbasierte Zugriffskontrollen für mehrere Benutzergruppen definieren
- Auditlogging zur Überwachung der Benutzeraktivität aktivieren
- Integrieren Sie das Okta-Lebenszyklusmanagement für die automatisierte Bereitstellung
- Periodische Validierung der SSO-Funktionalität nach Konfigurationsänderungen
Verwandte Links
- Oracle Cloud Infrastructure Search mit OpenSearch
- Auf OCI Search mit OpenSearch-Dashboards und REST-APIs außerhalb eines VCN zugreifen
Danksagungen
- Autoren – Pavan Upadhyay (Principal Cloud Engineer), Saket Bihari (Principal Cloud Engineer)
Weitere Lernressourcen
Sehen Sie sich weitere Übungen auf docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im YouTube-Kanal von Oracle Learning zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um ein Oracle Learning Explorer zu werden.
Die Produktdokumentation finden Sie im Oracle Help Center.
Configure OCI Search with OpenSearch SAML Authentication Using Okta
G55779-01