1. Oracle Identity Cloud Service mit Oracle Access Manager als Identity Provider integrieren
  2. Integration

Integration

Nach Abschluss der Integration bleibt der Authentifizierungsablauf für On-Premise-Anwendungen, die Oracle Access Management (OAM) verwenden, gleich. Bei Cloud-Anwendungen wechselt der Authentifizierungsfluss von einem Oracle Identity Cloud Service nur über eine SAML-Assertion von OAM zu einem anderen.

Die Konfiguration von OAM als Identitätsprovider (IdP) für Oracle Identity Cloud Service wirkt sich nicht darauf aus, wie Benutzer auf Ihre On-Premise-Anwendungen zugreifen. Benutzer, die auf eine OAM-geschützte On-Premise-Anwendung zugreifen, werden mit dem entsprechenden Authentifizierungsschema wie einer Formularanmeldung konfrontiert. OAM validiert die Benutzerzugangsdaten, generiert die Benutzersession und ermöglicht den Zugriff auf die On-Premise-Anwendung.

Das folgende Diagramm erläutert den SAML 2.0-Authentifizierungsablauf für Ihre Cloud-Anwendungen, wenn Sie OAM als IdP für Oracle Identity Cloud Service verwenden.

Abbildung - SAML 2.0-Authentifizierungsablauf

Beschreibung von Abbildung - folgt
Beschreibung von "Abbildung - SAML 2.0 Authentication Flow"
  1. Der Benutzer fordert Zugriff auf eine Cloud-Anwendung an.
  2. Die Cloud-Anwendung leitet den Benutzerbrowser zur Authentifizierung an Oracle Identity Cloud Service um.
  3. Oracle Identity Cloud Service leitet den Benutzerbrowser zur Authentifizierung an OAM als Identitätsprovider (IdP) um.
  4. OAM zeigt dem Benutzer seine Anmeldeseite an.
  5. Der Benutzer leitet Zugangsdaten an OAM weiter.
  6. Nachdem sich der Benutzer erfolgreich in OAM authentifiziert hat, wird der Browser mit einem gültigen SAML-Token an Oracle Identity Cloud Service umgeleitet.
  7. Oracle Identity Cloud Service konsumiert das SAML-Token, erstellt eine Benutzersession und leitet den Browser dann wieder zur Cloud-Anwendung um.
  8. Die Cloud-Anwendung erstellt eine eigene Benutzersession und zeigt dem Benutzer dann die Homepage an.

Voraussetzungen validieren

Validieren Sie die folgenden Voraussetzungen, bevor Sie Oracle Access Management (OAM) und Oracle Identity Cloud Service integrieren.

  1. Bestätigen Sie, dass Benutzer zwischen dem Identitätsspeicher von OAM und Oracle Identity Cloud Service synchronisiert werden.

    Für die IdP-Integration müssen Benutzereinträge mit demselben eindeutigen Attribut sowohl im OAM-Identitätsspeicher als auch in Oracle Identity Cloud Service vorhanden sein. Ein häufig verwendetes eindeutiges Attribut ist die E-Mail-Adresse. Oracle Identity Cloud Service bietet Mechanismen, mit denen Benutzer kontinuierlich und automatisch synchronisiert werden.

    Sie haben die folgenden Optionen zum Synchronisieren von Benutzern zwischen Ihrem vorhandenen OAM-Identitätsspeicher und Oracle Identity Cloud Service:
    • REST-APIs
    • CSV-Dateien
    • OIM-Stecker
    • Identity Bridge
    Informationen zu diesen Optionen finden Sie in der Oracle Identity Cloud Service-Dokumentation und in Tutorials im Selbststudium.

    Beispiel: Mit Oracle Unified Directory (OUD) für den OAM Identity Store können Sie Benutzereinträge sehr einfach prüfen. Um die E-Mail-Adresse eines einzelnen Benutzers in OUD zu prüfen, können Sie ldapsearch verwenden. Um einen Benutzer in OUD abzurufen, starten Sie ein Terminal, und führen Sie den Befehl ldapsearch wie folgt aus. Ersetzen Sie dabei die Attribute und Werte entsprechend Ihrer Umgebung:

    ldapsearch -h oudhost -p 1389 -D "cn=Directory Manager" -s sub -b "dc=example,dc=com" "uid=csaladna" dn mail

    Die Befehlsausgabe gibt den Benutzer-DN und die E-Mail-Adresse wie folgt zurück:

    dn: uid=csaladna,ou=People,dc=example,dc=com mail: csaladna@example.com

    Notieren Sie die von OUD zurückgegebene E-Mail (Beispiel: csaladna@example.com):

    1. Greifen Sie auf die Oracle Identity Cloud Service-Konsole zu, erweitern Sie das Slide-in-Menü, und klicken Sie auf Benutzer.
    2. Suchen und bestätigen Sie, dass ein Benutzer mit der OUD-E-Mail vorhanden ist.
    3. Wenn sich Benutzer nicht sowohl im OAM-Benutzerverzeichnis als auch in Oracle Identity Cloud Service mit übereinstimmenden eindeutigen Attributen befinden, können Sie nicht fortfahren.

    Stellen Sie zunächst sicher, dass alle Benutzer, die den OAM-Service IdP verwenden, übereinstimmende eindeutige Attribute in beiden Verzeichnissen aufweisen.

  2. Prüfen Sie, ob die OAM-Identity Federation aktiviert ist.
    1. Melden Sie sich bei der OAM-Konsole an, und navigieren Sie zu Konfiguration > Verfügbare Services.
    2. Stellen Sie sicher, dass Identity Federation aktiviert ist. (Aktivieren Sie es, wenn es deaktiviert ist).
    Jetzt können Sie OAM und Oracle Identity Cloud Service integrieren.