1. SSO zwischen Azure AD und Oracle Identity Cloud Service für Oracle E-Business Suite einrichten
  2. Federation Trust zwischen Azure AD und Identity Cloud Service einrichten

Federation Trust zwischen Azure AD und Identity Cloud Service einrichten

Zur Einrichtung von Federation Trust müssen Sie Oracle Identity Cloud Service als Galerieanwendung in Azure AD-Mandanten hinzufügen. Wenn dem Mandanten eine Anwendung hinzugefügt wurde, fügen Sie Azure AD als Identitätsprovider (IDP) in Oracle Identity Cloud Service hinzu, und konfigurieren Sie Single Sign-On in Azure AD.

Bevor Sie beginnen

Bevor Sie Federation Trust zwischen Azure AD und Oracle Identity Cloud Service einrichten, bereiten Sie Folgendes vor:

  • Sie sollten Azure-Abonnement mit einem privilegierten Contributor oder höheren Account besitzen. Sie benötigen praktische Erfahrung mit der Azure-Plattform. Diese Lösung deckt Azure IaaS nicht ab und führt die Best Practices zum Erstellen und Ausführen von VMs und Anwendungen aus.
  • Rufen Sie das Abonnement von Azure AD ab, und erstellen Sie einen Benutzer mit der Rolle Anwendungsadministrator oder Globaler Administrator im Azure AD-Portal.
  • Sie sollten wissen, wie Sie eine Sicherheitsgruppe in Azure erstellen und dieser auch Benutzer hinzufügen.
  • Die Benutzersynchronisierung zwischen Azure AD - und E-Business Suite-Anwendungen ist für SSO Voraussetzung. Sie können auch die Oracle Identity Cloud Service-Funktion verwenden, um Benutzer zwischen Azure AD und Oracle Identity Cloud Service synchronisiert zu halten. Mindestens ein Attribut muss unter allen drei Systemen übereinstimmen. Beispiel: Der Principal-Name des Benutzers (UPN oder ein anderes eindeutiges Attribut) in Azure AD muss mit dem Benutzernamen oder einem anderen Attribut in Oracle Identity Cloud Service übereinstimmen, und dieses Attribut muss ebenfalls mit dem Benutzernamen der E-Business Suite-Anwendung übereinstimmen.

Oracle Identity Cloud Service als Galerieanwendung in Azure AD hinzufügen

Sie benötigen Admin-Zugangsdaten für Ihre Oracle Identity Cloud Service-Mandanten, um sie als Galerieanwendung in Azure AD hinzuzufügen.

Sie benötigen die Metadatendatei später in den Schritten. Navigieren Sie zu Ihrer Oracle Identity Cloud Service-Mandanten-spezifischen Metadaten-URL, und laden Sie die Metadaten herunter. Die URL sieht wie folgt aus: https://<your_tenancy>.identity.oraclecloud.com/fed/v1/metadata.
  1. Wählen Sie im Azure-Portal Azure Active Directory im linken Navigationsbereich.
  2. Wählen Sie Enterprise-Anwendungen in Azure Active Directory.
  3. Wählen Sie Neue Anwendung aus.
  4. Navigieren Sie in der Galerie zu" Hinzufügen", und geben Sie" Oracle Identity Cloud Service für E-Business Suite" in das Suchfeld ein. Wählen Sie die übereinstimmende Anwendung aus den Suchergebnissen, und fügen Sie die Anwendung hinzu.
  5. Wählen Sie Ihre Anwendung aus, um Single Sign-On zu konfigurieren, und navigieren Sie unter Verwalten im linken Fensterbereich zu Single Sign-On.
  6. Wählen Sie SAML als Single Sign-On-Methode.
  7. Navigieren Sie auf der Seite Single Sign-On mit SAML einrichten - Vorschau zum Abschnitt Allgemeine SAML-Konfiguration, und klicken Sie auf Metadatendatei hochladen.
  8. Wählen Sie die Oracle Identity Cloud Service-Metadatendatei aus, die Sie zuvor heruntergeladen haben, und klicken Sie auf Hinzufügen.
  9. Geben Sie im Feld Eigenschaften der Anmelde-URL die URL der Oracle Identity Cloud Service myconsole ein.
  10. Prüfen Sie die SAML-Konfiguration. Fügen Sie die Oracle Identity Cloud Service-Abmelde-URL hinzu, wenn sie fehlt. Behalten Sie im Abschnitt Benutzerattribute und Ansprüche die Standardwerte bei.
  11. Klicken Sie im Abschnitt SAML-Signaturzertifikat auf Herunterladen neben Federation-Metadaten-XML, um die Azure AD Federation-Metadatendatei herunterzuladen.
    Diese Anwendung stellt einen SAML 2.0-Federation-Link zwischen Azure AD und Oracle Identity Cloud Service bereit, E-Business Suite-Anwendungsbenutzer dürfen jedoch nur die E-Business Suite-Anwendung im My Apps-Portal sehen.
  12. Wenn Sie die Anwendung im Portal" Meine Apps" ausblenden möchten, setzen Sie die Eigenschaft Für Benutzer sichtbar? auf Nein.

Azure AD als Identitätsprovider in Oracle Identity Cloud Service hinzufügen

Wenn Sie einen Identitätsprovider hinzufügen, importieren Sie den Metadateninhalt des Identitätsproviders, den Sie beim Hinzufügen der Galerieanwendung heruntergeladen haben. Stellen Sie sicher, dass die Metadaten-XML-Datei oder die URL sofort verfügbar ist.

  1. Melden Sie sich bei der Oracle Identity Cloud Service-Administrationskonsole an.
  2. Navigieren Sie zu Sicherheit, wählen Sie Identitätsprovider, und fügen Sie einen Identitätsprovider hinzu.
  3. Geben Sie im Assistenten" Identitätsprovider hinzufügen" einen Namen ein, und klicken Sie auf Weiter.
  4. Importieren Sie die Azure AD Federation-Metadaten-XML-Datei, die Sie beim Hinzufügen Ihrer Anwendung zur Galerie heruntergeladen haben.
  5. Verwenden Sie im Fensterbereich"Konfigurieren" des Assistenten den Standardwert für das angeforderte NameID-Format. Der Wert für das Benutzerattribut des Identitätsproviders muss"Namens-ID" lauten.
  6. Setzen Sie den Wert für"Oracle Identity Cloud Service -Benutzerattribut" auf"Primäre E-Mail-Adresse" oder auf ein beliebiges anderes Attribut in Identity Cloud Service, das den Principal-Namen des Benutzers in Azure AD enthalten könnte.
  7. Richten Sie eine IDP-Policy ein, und fügen Sie eine Webgate-App hinzu, die zuvor erstellt wurde, um Azure AD zur Authentifizierung zu verwenden.
    1. Klicken Sie im Navigationsbereich auf Sicherheit, IDP-Policys zum Hinzufügen.
    2. Geben Sie im Assistenten den Namen für die Policy ein, und klicken Sie auf Weiter.
    3. Klicken Sie auf Zuweisen, wählen Sie Azure AD IDP in der Liste aus, und beenden Sie den Assistenten. Sie können mehrere Anwendungen zuweisen, die diesen IDP verwenden können.

Vollständige Single Sign-On-Konfiguration in Azure AD

Schließen Sie die Single Sign-On-Konfiguration ab, um eine Verbindung zwischen Oracle Cloud Infrastructure und Azure AD herzustellen.

  1. Melden Sie sich beim Azure-Portal an.
  2. Erstellen Sie eine Sicherheitsgruppe, und geben Sie einen Namen an. Beispiel: oracle-Users.
  3. Erstellen Sie einen Testbenutzer, indem Sie zu Azure Active Directory navigieren und Benutzer auswählen und dann einen Benutzer erstellen.
  4. Fügen Sie den Benutzer der Sicherheitsgruppe hinzu.
  5. Weisen Sie die Gruppe der Oracle Identity Cloud Service-SSO-Anwendung zu. Beispiel: Die Gruppe" Oracle: Benutzer" enthält alle Benutzer, die über Oracle Identity Cloud Service. auf eine E-Business Suite-Anwendung zugreifen können.
  6. Öffnen Sie die Oracle Identity Cloud Service-Administrationskonsole.
    Zu Testzwecken können Sie entweder einen Benutzer in Oracle Identity Cloud Service manuell erstellen oder Azure AD-Benutzer in Oracle Identity Cloud Service synchronisieren. Die Benutzer müssen so erstellt oder synchronisiert werden, dass ein Benutzer-Principal in Azure AD mit der primären E-Mail-Adresse des Benutzers (oder einem anderen Attribut) in Oracle Identity Cloud Service übereinstimmt. Beispiel: joe.smith@example.com wäre der Principal-Name des Benutzers in Azure AD und die primäre E-Mail-Adresse von Oracle Identity Cloud Service.
  7. Navigieren Sie In Azure AD zur IDCS-SSO-Unteranwendung, und testen Sie Single Sign-On mit dem Testaccount.