Informationen zur Konfiguration von SAML und SCIM

Sie können eine föderierte Anmeldung zwischen einer Identitätsdomain und einem externen Identitätsprovider einrichten, um sich bei OCI-Ressourcen anzumelden und darauf zuzugreifen, indem Sie vorhandene Anmeldungen und Kennwörter verwenden, die vom Identitätsprovider verwaltet werden.

SAML in Okta einrichten

Richten Sie Okta als IdP ein, wobei OCI Identity and Access Management als Serviceprovider fungiert und den Benutzerzugriff auf Services und Anwendungen in OCI Identity and Access Management mit von Okta authentifizierten Benutzerzugangsdaten ermöglicht.

  1. Klicken Sie in Okta auf Admin.
  2. Klicken Sie im linken Fensterbereich auf Applications und dann auf Applications.
  3. Klicken Sie unter Anwendungen auf App-Katalog durchsuchen.
  4. Geben Sie im Suchfeld saml ein, und wählen Sie SAML-Serviceprovider aus.
  5. Klicken Sie auf Integration hinzufügen.
  6. Geben Sie im Feld Anwendungslabel den Wert Okta SAML Provider ein.
  7. Klicken Sie auf Weiter.
  8. Geben Sie im Feld Standard-Relay-Status https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname ein.
    1. Klicken Sie in OCI auf das Hauptmenü, dann auf Identität und Sicherheit, dann auf Identität, dann auf Domains.
    2. Notieren Sie sich den Mandantennamen und den Domainnamen.
    3. Ersetzen Sie gegebenenfalls yourtenancyname und yourdomainname.

SAML in OCI einrichten

Konfigurieren Sie ein SAML IdP-Setup in OCI mit den konfigurierten SAML-Optionen in Okta.

Während dieses Setups wechseln Sie häufig zwischen OCI und Okta.
  1. Klicken Sie in der OCI-Konsole auf das Hauptmenü, Identität und Sicherheit, dann auf die Seite SAML-Identitätsprovider hinzufügen, und wählen Sie Identitätsprovidermetadaten manuell eingeben aus.
  2. Klicken Sie in Okta auf der Seite SAML-Serviceprovider hinzufügen unter Metadatendetails auf Weitere Details, Anmelde-URL und dann auf Kopieren.
  3. Geben Sie in OCI im Feld Identitätsprovider-Aussteller-URI den kopierten Text ein.
  4. Klicken Sie in Okta unter Anmeldemethoden auf Setupanweisungen anzeigen, und kopieren Sie unter Bei Ihrem Serviceprovider anmelden den Text der Identitätsprovider-Aussteller-URI.
  5. Geben Sie in OCI in jedem Feld SSO-Service-URL, URL-Feld für Abmeldeanforderung des Identitätsproviders und URL für Abmeldeantwort des Identitätsproviders die Anmelde-URL ein, die Sie bei Okta beibehalten haben.
  6. Wählen Sie unter Abmelde-Binding die Option POST aus.
  7. Aktivieren Sie die Option Signaturzertifikat mit SAML-Nachricht senden.
  8. Klicken Sie auf Weiter.
  9. Wählen Sie in der Dropdown-Liste Angefordertes NameID-Format die Option E-Mail-Adresse aus.
  10. Klicken Sie auf IdP erstellen.
  11. Klicken Sie auf der Seite Exportieren neben der Assertion Consumer Service-URL auf Kopieren.
  12. Geben Sie in Okta im Feld Assertion Consumer Service-URL den kopierten Text ein.
  13. Klicken Sie in OCI auf der Seite Exportieren neben Provider-ID auf Kopieren.
  14. Geben Sie in Okta im Feld Serviceproviderentitäts-ID den kopierten Text ein.
  15. Klicken Sie auf Fertig.
  16. Klicken Sie auf der Seite Okta-SAML-Provider auf Zuweisen, Zu Personen zuweisen.
  17. Klicken Sie neben dem Namen der einzelnen Bearbeiter auf Zuweisen, geben Sie einen Benutzernamen an, und klicken Sie auf Speichern und zurück.
  18. Klicken Sie auf Fertig.
  19. Klicken Sie in OCI auf Weiter.
  20. (Optional) Klicken Sie auf Anmeldung testen.
  21. Klicken Sie auf Weiter.
  22. Klicken Sie auf Aktivieren.
  23. Klicken Sie auf Fertig stellen.
  24. Klicken Sie unter "Sicherheit" auf IdP-Policys.
  25. Klicken Sie auf Standardidentitätsprovider-Policy.
  26. Klicken Sie in der Zeile Standard-IDP-Regel auf die drei Punkte, und klicken Sie auf Regel IdP bearbeiten.
  27. Klicken Sie unter Identitätsprovider zuweisen auf Okta-SAML-Setup, und wählen Sie diese aus.
  28. Klicken Sie auf Änderungen speichern.
  29. Kehren Sie zur Seite IdP-Policys zurück, und klicken Sie auf Anmelde-Policys.
  30. Klicken Sie auf Default Sign-On Policy.
  31. Klicken Sie in der Zeile Standardanmeldungsregel auf die drei Punkte, dann auf Anmeldungsregel bearbeiten und dann auf Weiter.
  32. Klicken Sie unter Denityprovider zuweisen auf Okta-SAML-Setup, und wählen Sie diese aus.
  33. Klicken Sie auf Änderungen speichern.
  34. Melden Sie sich mit der Option Okta-SAML-Setup bei Ihrem Oracle Cloud-Mandanten an.
  35. Melden Sie sich bei Okta an.
  36. Wählen Sie auf dem Bestätigungsbildschirm die Option Pushbenachrichtigung abrufen aus.

SCIM bereitstellen

Mit dem SCIM-Provisioning-Prozess können Sie SSO einrichten, um Benutzeridentitäten in der Cloud zu verwalten. OCI Identity and Access Management unterstützt das Benutzerlebenszyklusmanagement zwischen Okta und OCI Identity and Access Management.

  1. Klicken Sie in Okta auf Admin.
  2. Klicken Sie im linken Fensterbereich auf Applications und dann auf Applications.
  3. Klicken Sie auf Anwendungsintegration erstellen.
  4. Wählen Sie SAML 2.0 aus, und klicken Sie auf Weiter.
  5. Geben Sie im Feld App-Name die Zeichenfolge OCI OKTA SCIM Integration ein, und klicken Sie auf Weiter.
  6. Klicken Sie in OCI auf das Menü, dann auf Identität und Sicherheit und dann auf Domains.
  7. Klicken Sie auf der Seite Domains auf Standard.
  8. Klicken Sie im linken Fensterbereich auf Sicherheit und dann auf Identitätsprovider.
  9. Klicken Sie in der Zeile Okta-SAML-Setup auf die drei Punkte und dann auf IdP bearbeiten.
  10. Klicken Sie unter Exportdetails in der Zeile Assertion-Service-URL konsumieren auf Kopieren.
  11. Geben Sie in Okta im Feld Sinle-Anmelde-URL den kopierten Text ein.
  12. Klicken Sie in OCI unter Exportdetails in der Zeile Provider-ID auf Kopieren.
  13. Geben Sie in Okta im Feld Zielgruppen-URI (SP-Entity-ID) den kopierten Text ein.
  14. Geben Sie im Feld Standardwert RelayState https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=domainname ein.
  15. Klicken Sie auf Weiter.
  16. Wählen Sie neben Sind Sie ein Kunde oder Partner? die Option Ich bin ein Softwareanbieter... aus, und klicken Sie auf Fertigstellen.
  17. Klicken Sie auf die Registerkarte Allgemein.
  18. Klicken Sie neben Anwendungseinstellungen auf Bearbeiten.
  19. Wählen Sie neben Provisioning wird ausgeführt die Option SCIM aus, und klicken Sie auf Speichern.
  20. Klicken Sie auf die Registerkarte Provisioning.
  21. Klicken Sie neben der SCIM-Verbindung auf Bearbeiten.
  22. Geben Sie die Domain-URL ein:
    1. Navigieren Sie in OCI zu Domains, und klicken Sie auf Standard.
    2. Klicken Sie neben der Domain-URL auf Anzeigen, und kopieren Sie die URL.
    3. Geben Sie in Okta im Feld SCIM-Connector-Basis-URL die kopierte URL ein.
    4. Ersetzen Sie die Schulung :433 durch /admin/v1.
  23. Geben Sie im Feld Eindeutige ID für Benutzer Ihren Benutzernamen ein.
  24. Wählen Sie neben den unterstützten Provisioning-Aktionen Folgendes aus:
    • Neue Benutzer und Profilaktualisierungen importieren
    • Neue Benutzer pushen
    • Push-Profilaktualisierungen
    • Pushgruppen
  25. Wählen Sie in der Dropdown-Liste Authentifizierungsmodus die Option HTTP-Header aus.
  26. Geben Sie das Autorisierungstoken ein:
    1. Navigieren Sie in OCI zu Domains, und klicken Sie auf Standard.
    2. Klicken Sie auf Integrierte Anwendungen und dann auf Anwendung hinzufügen.
    3. Wählen Sie Vertrauliche Anwendung aus, und klicken Sie auf Workflow starten.
    4. Geben Sie im Feld Name Okta-SCIM-OCI ein.
    5. Aktivieren Sie unter Authentifizierung und Autorisierung die Option Berechtigungen als Autorisierung durchsetzen, und klicken Sie auf Weiter.
    6. Wählen Sie unter Clientkonfiguration die Option Diese Anwendung jetzt als Client konfigurieren aus.
    7. Aktivieren Sie unter Autorisierung die Option Clientzugangsdaten.
    8. Aktivieren Sie ganz unten die Option Anwendungsrollen hinzufügen, und klicken Sie dann auf Rollen hinzufügen.
    9. Aktivieren Sie Benutzeradministrator, und klicken Sie auf Hinzufügen, Weiter, Fertigstellen.
    10. Klicken Sie auf Aktivieren und dann auf Anwendung aktivieren.
    11. Kopieren Sie unter Allgemeine Informationen die Kliet-ID.
    12. Öffnen Sie einen Base64-Encoder, geben Sie die Client-ID ein, und hängen Sie am Ende einen Doppelpunkt an.
    13. Klicken Sie unter Allgemeine Informationen unter Client Secret auf Secret anzeigen und dann auf Kopieren.
    14. Hängen Sie im Encoder Base64 das Client Secret an das Ende an.
    15. Führen Sie den Encoder aus, und kopieren Sie dann den codierten Text.
    16. Geben Sie in Okta unter HTTP-Header im Feld Authentifizierung den codierten Text ein.
    17. (Optional) Klicken Sie auf Connector-Konfiguration testen.
    18. Klicken Sie auf Speichern.
  27. Klicken Sie neben Provisioning für App auf Bearbeiten.
  28. Aktivieren:
    • Benutzer erstellen
    • Benutzerattribute aktualisieren
    • Benutzer deaktivieren
  29. Klicken Sie auf Speichern.
  30. Klicken Sie auf die Registerkarte Zuweisungen, blenden Sie die Dropdown-Liste Zuweisen ein, klicken Sie auf Zu Personen zuweisen, richten Sie die Zuweisung ein, und klicken Sie dann auf Fertig.
    Der neue Benutzer sollte in der Liste Benutzer der Standarddomain in OCI angezeigt werden.

OCI SAML IdP einrichten

Verwenden Sie die Okta-Setupoptionen, um das SAML IdP-Setup zu aktualisieren.

  1. Wählen Sie in der OCI-Konsole unter IdP SAML-Identitätsprovider die zuvor erstellte SAML-IdP aus (z.B. Okta).
  2. Klicken Sie auf das Aktionsmenü ( drei Punkte) und dann auf Edit IdP.
  3. Kopieren Sie den Aussteller, und fügen Sie ihn ein, um die Aussteller-URI des Identitätsproviders zu aktualisieren.
  4. Kopieren Sie die Anmelde-URL, und fügen Sie sie ein, um die URL der Abmeldeanforderung des Identitätsproviders und die Abmeldeantwort-URL und SSO-Service-URL des Identitätsproviders zu aktualisieren.
  5. Laden Sie unter Signaturzertifikat das zuvor heruntergeladene Signaturzertifikat hoch.
  6. Klicken Sie auf Speichern.
  7. Klicken Sie auf das Aktionsmenü (drei Punkte) und dann auf Activate.
Dadurch wird das SCIM-Provisioning konfiguriert. Von hier aus sollten Benutzerbereitstellung und Föderation über Okta möglich sein.

Fehler bei SCIM-Pushgruppe lösen

Beheben Sie den SCIM-Pushgruppenfehler, wenn er auftritt.

Im Rahmen dieses Fixs müssen Sie die vorherige SCIM-Konfiguration deaktivieren und löschen.

  1. Klicken Sie in Okta auf Anwendungen > Anwendungen > App-Katalog durchsuchen.
  2. Suchen Sie Oracle Identity Cloud Service, und wählen Sie sie aus.
  3. Klicken Sie auf Integration hinzufügen.
  4. Geben Sie im Feld Subdomain einen beliebigen Wert ein (Beispiel: idcs-a1b2c3d4).
  5. Klicken Sie auf Fertig.
  6. Klicken Sie auf die Registerkarte Provisioning wird ausgeführt und dann auf API-Integration konfigurieren.
  7. Klicken Sie auf API-Integration aktivieren.
  8. Geben Sie im Feld Basis-URL die gespeicherte Domain-URL ein:
    1. Gehen Sie in OCI zu Identität > Domains.
    2. Klicken Sie auf Standard.
    3. Blenden Sie das Feld Domain-URL ein, und klicken Sie auf Kopieren.
    4. Fügen Sie sie in Okta in das Feld Basis-URL ein, und hängen Sie Folgendes an: /admin/v1
  9. Bestehende Anwendung löschen.
    1. Gehen Sie in OCI zu Identität > Domains > Standarddomain > Integrierte Anwendungen.
    2. Klicken Sie auf das Menü (drei Punkte) für die Anwendung > Deaktivieren > Anwendung deaktivieren.
    3. Klicken Sie erneut auf das Menü > Löschen > Anwendung löschen.
  10. Neue Anwendung erstellen.
    1. Klicken Sie auf Anwendung hinzufügen > Vertrauliche Anwendung > Workflow starten.
    2. Geben Sie im Feld Name Okta_IDCS ein, und klicken Sie auf Weiter.
    3. Klicken Sie auf Clientkonfiguration.
    4. Aktivieren Sie Clientzugangsdaten.
    5. Aktivieren Sie Anwendungsrollen hinzufügen.
    6. Klicken Sie auf Rollen hinzufügen.
    7. Aktivieren Sie Benutzeradministrator, und klicken Sie auf Hinzufügen.
    8. Klicken Sie auf Weiter und dann auf Fertigstellen.
    9. Klicken Sie auf der Anwendungsseite auf Aktivieren > Anwendung aktivieren.
  11. Generieren Sie ein Token.
    1. Kopieren Sie auf der Anwendungsseite unter Allgemeine Informationen die Client-ID.
    2. Fügen Sie die Client-ID in das Eingabefeld des base64-Tokengenerators ein.
    3. Klicken Sie auf der Anwendungsseite unter Allgemeine Informationen auf Secret anzeigen und dann auf Kopieren.
    4. Hängen Sie das Secret an die Client-ID an, codieren Sie dann das API-Token, und kopieren Sie es.
    5. Fügen Sie in Okta im Feld API-Token das API-Token ein.
    6. Klicken Sie auf API-Zugangsdaten testen und dann (falls erfolgreich) auf Speichern.
  12. Schließen Sie die Bereitstellung ab.
    1. Klicken Sie in Okta auf der Registerkarte Provisioning wird ausgeführt neben Provisioning an App auf Bearbeiten.
    2. Aktivieren Sie Benutzer erstellen, Benutzerattribute aktualisieren und Benutzer deaktivieren, und klicken Sie dann auf Speichern.
  13. Erstellen Sie eine Testgruppe.
    1. Klicken Sie in Okta auf die Registerkarte Pushgruppen.
    2. Klicken Sie auf Pushgruppen > Gruppen nach Namen suchen.
    3. Geben Sie im Feld Nach Name test_group ein, und klicken Sie auf Speichern.
  14. Weisen Sie die Testgruppe zu.
    1. Klicken Sie in Okta auf die Registerkarte Zuweisungen.
    2. Klicken Sie auf Zuweisen > Personen zuweisen.
    3. Klicken Sie neben Test_user_SCIM_Prov auf Zuweisen.
    4. Klicken Sie auf Fertig > Speichern und zurück > Fertig.
    5. Klicken Sie auf die Registerkarte Pushgruppen.
    6. Legen Sie unter Pushstatus die Dropdown-Liste auf Jetzt pushen fest.
    7. In OCI sollten die Aktualisierung und die Testgruppe angezeigt werden.