Informationen zur Konfiguration von SAML und SCIM
Sie können eine föderierte Anmeldung zwischen einer Identitätsdomain und einem externen Identitätsprovider einrichten, um sich bei OCI-Ressourcen anzumelden und darauf zuzugreifen, indem Sie vorhandene Anmeldungen und Kennwörter verwenden, die vom Identitätsprovider verwaltet werden.
SAML in Okta einrichten
Richten Sie Okta als IdP ein, wobei OCI Identity and Access Management als Serviceprovider fungiert und den Benutzerzugriff auf Services und Anwendungen in OCI Identity and Access Management mit von Okta authentifizierten Benutzerzugangsdaten ermöglicht.
- Klicken Sie in Okta auf Admin.
- Klicken Sie im linken Fensterbereich auf Applications und dann auf Applications.
- Klicken Sie unter Anwendungen auf App-Katalog durchsuchen.
- Geben Sie im Suchfeld
saml
ein, und wählen Sie SAML-Serviceprovider aus. - Klicken Sie auf Integration hinzufügen.
- Geben Sie im Feld Anwendungslabel den Wert
Okta SAML Provider
ein. - Klicken Sie auf Weiter.
- Geben Sie im Feld Standard-Relay-Status
https://oc2.cloud.oracle.com/?tenant=yourtenancyname&domain=yourdomainname
ein.- Klicken Sie in OCI auf das Hauptmenü, dann auf Identität und Sicherheit, dann auf Identität, dann auf Domains.
- Notieren Sie sich den Mandantennamen und den Domainnamen.
- Ersetzen Sie gegebenenfalls
yourtenancyname
undyourdomainname
.
SAML in OCI einrichten
Konfigurieren Sie ein SAML IdP-Setup in OCI mit den konfigurierten SAML-Optionen in Okta.
- Klicken Sie in der OCI-Konsole auf das Hauptmenü, Identität und Sicherheit, dann auf die Seite SAML-Identitätsprovider hinzufügen, und wählen Sie Identitätsprovidermetadaten manuell eingeben aus.
- Klicken Sie in Okta auf der Seite SAML-Serviceprovider hinzufügen unter Metadatendetails auf Weitere Details, Anmelde-URL und dann auf Kopieren.
- Geben Sie in OCI im Feld Identitätsprovider-Aussteller-URI den kopierten Text ein.
- Klicken Sie in Okta unter Anmeldemethoden auf Setupanweisungen anzeigen, und kopieren Sie unter Bei Ihrem Serviceprovider anmelden den Text der Identitätsprovider-Aussteller-URI.
- Geben Sie in OCI in jedem Feld SSO-Service-URL, URL-Feld für Abmeldeanforderung des Identitätsproviders und URL für Abmeldeantwort des Identitätsproviders die Anmelde-URL ein, die Sie bei Okta beibehalten haben.
- Wählen Sie unter Abmelde-Binding die Option POST aus.
- Aktivieren Sie die Option Signaturzertifikat mit SAML-Nachricht senden.
- Klicken Sie auf Weiter.
- Wählen Sie in der Dropdown-Liste Angefordertes NameID-Format die Option E-Mail-Adresse aus.
- Klicken Sie auf IdP erstellen.
- Klicken Sie auf der Seite Exportieren neben der Assertion Consumer Service-URL auf Kopieren.
- Geben Sie in Okta im Feld Assertion Consumer Service-URL den kopierten Text ein.
- Klicken Sie in OCI auf der Seite Exportieren neben Provider-ID auf Kopieren.
- Geben Sie in Okta im Feld Serviceproviderentitäts-ID den kopierten Text ein.
- Klicken Sie auf Fertig.
- Klicken Sie auf der Seite Okta-SAML-Provider auf Zuweisen, Zu Personen zuweisen.
- Klicken Sie neben dem Namen der einzelnen Bearbeiter auf Zuweisen, geben Sie einen Benutzernamen an, und klicken Sie auf Speichern und zurück.
- Klicken Sie auf Fertig.
- Klicken Sie in OCI auf Weiter.
- (Optional) Klicken Sie auf Anmeldung testen.
- Klicken Sie auf Weiter.
- Klicken Sie auf Aktivieren.
- Klicken Sie auf Fertig stellen.
- Klicken Sie unter "Sicherheit" auf IdP-Policys.
- Klicken Sie auf Standardidentitätsprovider-Policy.
- Klicken Sie in der Zeile Standard-IDP-Regel auf die drei Punkte, und klicken Sie auf Regel IdP bearbeiten.
- Klicken Sie unter Identitätsprovider zuweisen auf Okta-SAML-Setup, und wählen Sie diese aus.
- Klicken Sie auf Änderungen speichern.
- Kehren Sie zur Seite IdP-Policys zurück, und klicken Sie auf Anmelde-Policys.
- Klicken Sie auf Default Sign-On Policy.
- Klicken Sie in der Zeile Standardanmeldungsregel auf die drei Punkte, dann auf Anmeldungsregel bearbeiten und dann auf Weiter.
- Klicken Sie unter Denityprovider zuweisen auf Okta-SAML-Setup, und wählen Sie diese aus.
- Klicken Sie auf Änderungen speichern.
- Melden Sie sich mit der Option Okta-SAML-Setup bei Ihrem Oracle Cloud-Mandanten an.
- Melden Sie sich bei Okta an.
- Wählen Sie auf dem Bestätigungsbildschirm die Option Pushbenachrichtigung abrufen aus.
SCIM bereitstellen
Mit dem SCIM-Provisioning-Prozess können Sie SSO einrichten, um Benutzeridentitäten in der Cloud zu verwalten. OCI Identity and Access Management unterstützt das Benutzerlebenszyklusmanagement zwischen Okta und OCI Identity and Access Management.
OCI SAML IdP einrichten
Verwenden Sie die Okta-Setupoptionen, um das SAML IdP-Setup zu aktualisieren.
- Wählen Sie in der OCI-Konsole unter IdP SAML-Identitätsprovider die zuvor erstellte SAML-IdP aus (z.B. Okta).
- Klicken Sie auf das Aktionsmenü ( drei Punkte) und dann auf Edit IdP.
- Kopieren Sie den Aussteller, und fügen Sie ihn ein, um die Aussteller-URI des Identitätsproviders zu aktualisieren.
- Kopieren Sie die Anmelde-URL, und fügen Sie sie ein, um die URL der Abmeldeanforderung des Identitätsproviders und die Abmeldeantwort-URL und SSO-Service-URL des Identitätsproviders zu aktualisieren.
- Laden Sie unter Signaturzertifikat das zuvor heruntergeladene Signaturzertifikat hoch.
- Klicken Sie auf Speichern.
- Klicken Sie auf das Aktionsmenü (drei Punkte) und dann auf Activate.