注意:

设置 Oracle Cloud Infrastructure Identity and Access Management 与 PingOne 之间的单点登录

简介

通过在 PingOne 与 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 之间设置单点登录 (SSO),OCI 管理员可以使用其 PingOne 凭证无缝登录到 OCI 控制台。

PingOne 充当身份提供者 (IdP),对用户进行身份验证并将安全身份验证令牌传递给 OCI IAM,该服务提供者 (SP)。通过此集成,管理员无需管理单独的 OCI 凭证,从而增强安全性并简化访问管理。

具有 PingOne(架构)的 OCI IAM 联盟。

本教程介绍如何将 OCI IAM(充当服务提供商 (service provider,SP) 与 PingOne(充当 IdP)相集成。通过在 PingOne 和 OCI IAM 之间设置联盟,您可以通过 SSO 允许用户访问 OCI 中的服务和应用程序。

注:本教程特定于具有身份域的 OCI IAM。

目标

先决条件

任务 1:从 OCI IAM 获取服务提供商元数据

您需要 OCI IAM 身份域中的 SP 元数据以导入您创建的安全断言标记语言 (Security Assertion Markup Language,SAML) PingOne 应用程序。OCI IAM 提供了一个直接 URL 来下载您使用的身份域的元数据。

要下载元数据,请执行以下步骤。

  1. 打开浏览器选项卡并输入 URL:https://cloud.oracle.com

  2. 输入您的云账户名称(也称为租户名称),然后选择下一步

  3. 选择要登录到的身份域。这是用于配置 SSO 的身份域。例如,Default

  4. 使用您的用户名和密码登录。

  5. 打开 navigation(导航)菜单,然后选择 Identity & Security(身份和安全)。在身份下,选择

    导航到域。

  6. 单击要在其中工作的身份域的名称。您可能需要更改区间以查找所需的域。依次单击设置域设置

    选择域。

  7. 在 "Access"(访问)签名证书下,检查 Configure client access(配置客户端访问)。选择 Save Changes 。这样,客户端无需登录域即可访问身份域的签名认证。

    在 "Domain Settings"(域设置)页面上配置客户机访问。

  8. 通过在面包屑导航线索中选择身份域名,返回到身份域概览。然后,依次单击安全性身份提供者。单击导出 SAML 元数据

    导航到 SP 元数据。

  9. 确保选择了 Metadata file(元数据文件)。在具有自签名证书的元数据下,单击下载 XML 。将此项保存在您的计算机本地,这是 SP 元数据。

    正在下载 SP 元数据。

任务 2:创建 PingOne SAML 应用程序

在本任务中,我们将使用 PingOne 管理控制台在 PingOne 中创建 SAML 应用程序。

  1. 在浏览器中,使用以下 URL 登录到 PingOne:https://console.pingone.com/index.html?env=<your_environment_ID>

  2. 应用程序下,单击应用程序+ 以添加新应用程序。

    PingOne 管理控制台应用程序。

  3. 输入 Application name(应用程序名称)(例如 OCI Admin Console),选择 Application Type(应用程序类型)作为 SAML Application(SAML 应用程序)并单击 Configure(配置)

  4. 选择导入元数据,然后单击选择文件。选择保存在任务 1.9 中的 SP 元数据文件。如果看到 ACS URLEntity ID 自动填充,则 XML 已正确解析。单击保存

    添加应用程序并上载元数据。

任务 3:配置 SAML 应用程序

为 PingOne SAML 应用程序设置 SSO,并下载 IdP 元数据。

在此任务中,我们将使用您之前保存的 SP 元数据文件,并设置属性映射。

  1. 单击应用程序 Configuration(配置),然后单击右上角的编辑符号。

    编辑应用程序配置。

  2. 主题 NameID 格式中,将所选内容更改为 urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress,然后单击保存

    NameID 格式选择。

  3. 单击属性映射,然后单击右上角的编辑符号。

  4. Attributes(属性)中,输入 saml_subject,将 PingOne Mappings 更改为 Email Address(电子邮件地址),然后单击 Save(保存)

    属性映射。

  5. 单击概览,滚动到底部,然后单击下载元数据。将此项保存在您的计算机本地,这是 IdP 元数据。

    下载 IDP 元数据。

  6. 打开或激活应用程序。

注:默认情况下,NameID 的值映射到 OCI IAM 中的用户名。

任务 4:设置验证策略和用户访问

对于联盟,我们建议设置 MFA 以及基于组或角色的访问控制。

  1. 单击策略,然后单击右上角的编辑符号。

  2. 单击 + 添加策略,分配与体系结构相关的策略,然后单击保存

    验证策略

  3. 单击访问和右上角的编辑符号。

  4. 选择将有权访问应用程序的组。如果不想强制执行此限制,请跳过此步骤。

    组分配

任务 5:为 OCI IAM 启用 PingOne 作为 IdP

对于这些步骤,您正在使用 OCI IAM。在此部分中,您将使用之前保存的 IdP 元数据文件,并设置属性映射。

  1. 在 OCI 控制台中,对于正在使用的域,依次选择安全性身份提供者

  2. 选择添加 IdP ,然后选择添加 SAML IdP

  3. 输入 SAML IdP 的名称,例如 PingOne。选择下一步

  4. 确保选择了导入身份提供者元数据。选择先前保存在身份提供者元数据中的 PingOnemetadata.xml 文件。选择下一步

    正在导入 IdP 元数据。

  5. 映射用户身份中,设置以下各项:

    • 请求的 NameID 格式下,选择 Email address
    • 身份提供者用户属性下,选择 SAML assertion Name ID
    • 身份域用户属性下,选择 Username

    SAML 身份提供方属性

  6. 选择下一步

  7. 复查并创建下,验证配置并选择创建 IdP

  8. Activate IdP 下,单击 Activate ,然后在底部单击 Close

  9. 安全性下,转到 IdP 策略并单击创建 IdP 策略

    创建 IdP 策略

  10. 提供名称并单击添加策略。例如:PingOne IdP

  11. 单击添加 IdP 规则并输入名称。例如,Default

  12. Assign identity provider 中,选择 PingOne 。此外,您可以针对此 IdP 的特定组或排除用户。单击添加 IdP 规则下一步

    添加 IdP 规则。

  13. (可选)如果需要将此策略限制为仅应用于某些应用程序,请在添加应用程序下添加它们。

  14. 选择关闭

任务 6:测试 PingOne 与 OCI 之间的 SSO

注:要使此功能正常工作,SSO 用户必须同时存在于 OCI IAM 和 PingOne 中,并且具有有效的电子邮件地址。

在此任务中,您可以测试 OCI IAM 和 PingOne 之间的联合验证是否有效。

  1. 打开浏览器选项卡并输入 OCI 控制台 URL:https://cloud.oracle.com

  2. 输入您的云账户名称(也称为您的租户名称),然后单击下一步

  3. 选择已在其中配置 PingOne 联合的身份域。

  4. 在登录页中,您可以看到使用 PingOne 登录的选项。单击 PingOne 并将您重定向到 PingOne 登录页。

    OCI IAM 登录页面

  5. 提供您的 PingOne 身份证明。

验证成功后,您将登录到 OCI 控制台。

确认

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室,或者访问 Oracle Learning YouTube 渠道上的更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 成为 Oracle Learning Explorer。

有关产品文档,请访问 Oracle 帮助中心