注意：

本教程需要访问 Oracle Cloud。要注册免费账户，请参阅开始使用 Oracle Cloud Infrastructure 免费套餐。
它对 Oracle Cloud Infrastructure 身份证明、租户和区间使用示例值。完成实验室后，请使用特定于云环境的那些值替换这些值。

将 OCI Identity and Access Management 配置为 Rapid7 命令平台的 SSO 源

简介

Oracle Cloud Infrastructure (OCI) 是 Oracle 的云计算平台，提供全面的云服务，包括计算、存储、网络、数据库和身份管理。OCI 专为传统应用和较新的云原生工作负载而设计，可在各种服务级别提供可扩展性、安全性和性能。OCI 还支持强大的身份和访问管理 (IAM) 系统，该系统包含 SAML 等功能，可启用单点登录 (SSO)，从而提高安全性和用户便利性。OCI 基于 SAML 的身份联盟可帮助企业与外部身份提供商集成，简化用户对各种 OCI 资源的访问。

Rapid7 是网络安全解决方案的领先提供商，专注于威胁检测、漏洞管理和事件响应。借助 InsightIDR 和 InsightVM 等工具，Rapid7 可帮助组织检测和管理其基础设施（包括云环境）中的漏洞。Rapid7 的 SAML 集成功能允许组织与 OCI 等身份提供者进行连接，从而简化身份验证。此连接可为用户提供单点登录功能，通过减少密码依赖性来提高安全性，同时还支持无缝访问 Rapid7 的安全工具和洞察。

本教程将介绍如何使用安全断言标记语言 (Security Assertion Markup Language，SAML) 2.0 将 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 配置为 Rapid7 命令平台的单点登录 (SSO) 源的任务。这样，您可以使用 OCI IAM 管理 Rapid7 命令平台的用户验证。

目标读者

OCI IAM 专业人员和 Rapid7 管理员。

目标

通过 SAML 将 OCI 与 Rapid7 集成，企业可以利用 OCI 的身份管理功能，同时确保安全访问 Rapid7 的安全平台。此设置通过 SSO 增强用户体验，并通过集中管理两个平台上的身份来支持更强的安全实践。它允许 IT 和安全团队高效地管理身份，跟踪访问，并改善整个云和安全环境的安全状况。

先决条件

管理员可以访问 OCI 租户和 Rapid7 命令平台。

任务 1：在 Rapid7 命令平台中配置 SSO 设置

在此任务中，我们将在 Rapid7 命令平台中使用 SAML 2.0 配置 SSO 设置。

要访问 SSO 设置，请执行以下步骤：
1. 转到 Rapid7 命令平台主页，然后单击管理链接。
2. 单击设置图标。
3. 单击 Authentication Settings（验证设置）和 SSO Settings（SSO 设置）。
从 Select your Identity Provider (IdP) 下拉菜单中选择 Other（其他）。

注：我们将在完成任务 2 之后上载 IdP 证书。
复制 Assertion Consumer Service (ACS) URL 、 Audience (EntityID) 和 Relay State URL。完成后，转至 Task 2 。
从任务 2 中下载的元数据中复制 Entity ID（实体 ID）和 SingleSignOnService URL(SingleSignOnService URL) ，然后分别在 Configured Insight Platform（配置的 Insight 平台）部分的 Issuer URL（发行人 URL）和 Single Sign-On URL（单点登录 URL）中使用它。

注：单点登录 URL 的格式为 https://idcs-##############.identity.oraclecloud.com/fed/v1/idp/sso。
上载 IdP 证书。
设置默认权限配置文件，以便为新用户分配权限。设置此默认权限配置文件后，它将自动分配给通过 OCI IAM 创建的所有新用户账户。对现有用户帐户的访问不受影响。
启用 IdP 用户组同步。通过将 OCI IAM 组与 Rapid7 命令平台同步，您的 OCI IAM 可以管理 Rapid7 命令平台用户组成员资格。分配给 IdP 组的 OCI 用户会自动分配给 Rapid7 命令平台中的匹配用户组。以这种方式分配的用户会继承所有定义的产品、角色和数据权限，只要它们仍是原始 IdP 组的一部分。
单击是以通过外部 IdP 启用 SSO。
单击下载以下载 SP 的元数据。
从 X509Certificate 中提取以创建 .pem 文件。

任务 2：在 OCI IAM 身份域中创建 SAML 应用程序

我们将在相应的 OCI IAM 身份域中创建 SAML 应用程序。这是使用 SAML 2.0 协议为 SSO 在 OCI IAM 和 Rapid7 命令平台之间建立安全通信链路所必需的。

登录到 OCI 控制台，转到身份与安全，然后单击域。
选择您的域，单击集成的应用程序以添加应用程序，选择 SAML 应用程序并单击启动工作流。
为您的应用程序输入名称、延时状态，然后单击下一步。
在 Configure single sign on（配置单点登录）部分中，输入 Entity ID（实体 ID）、 Assertion consumer URL（断言使用者 URL），选择 Name ID format（名称 ID 格式）作为 Unspecified（未指定），选择 Name ID value（名称 ID 值）作为 Username（用户名），然后上载从 Rapid7 控制台下载的 Signing certificate（签名证书）。

注：在 Rapid7 命令平台中配置 SSO 后，可以从下载的元数据中提取证书。
在其他配置部分中，选择在签名中包含签名证书并取消选择启用单次注销。将其他参数保留为默认值。

注：根据您的要求选择或取消选择启用单次注销功能。启用该功能将需要将 SLO URL 添加到相应字段中。
使用属性配置部分中的以下配置。

注：映像中的以下属性语句对于向 Rapid7 命令平台进行验证是必需的。
单击 Finish 和 Activate 以完成设置。
下载 Signing Certificate 和 Identity Provider Metadata 。完成后，返回到任务 1.4 并继续。

任务 3：组同步

通过组同步，您可以从 OCI IAM 中控制用户组分配。

通过在标记为 rbacGroups 的 SAML 响应中包括一个属性来实现此功能，该属性包含每个用户的 Rapid7 命令平台组的名称。用户将自动分配给 Rapid7 命令平台中的对应组，并将继承与这些组关联的产品、角色和资源访问权限。

注：启用组同步后，将从其 SAML 断言中未包含的任何 Rapid7 命令平台组中删除 IdP 用户。IdP 用户将保留直接分配给他们的任何角色或权限，包括默认权限配置文件中的角色或权限。

要在 Rapid7 命令平台中创建用户组，请导航到管理、用户管理并单击用户组。

任务 4：配置用户组

由于组同步要求使用 Rapid7 命令平台用户组，因此在激活之前配置了组非常重要。

添加组属性。在 OCI IAM 中，我们需要确保将用户分配给与对应的 Rapid7 命令平台用户组同名的组。如果尚未创建这些组，请执行以下步骤：
1. 在 OCI Identity Domains Console 中，导航到组。
2. 单击创建组。
3. 输入与对应的 Rapid7 命令平台用户组相同的名称。
4. 在 Users（用户）部分中，选择 the users to assign this group（要分配此组的用户）。
5. 单击创建。
配置组后，您需要向 SAML 断言添加一个属性，其中包含每个用户所分配到的组的名称。
将属性添加到 OCI IAM 身份域中的 SAML 断言。
1. 在 OCI OCI Identity Domains Console 中，导航到集成应用程序并选择 Rapid7 应用程序。
2. 单击 SAML 设置部分中的 Edit SSO Configuration 。
3. 添加以下属性语句，然后单击保存。
现在，当用户使用 SSO 进行身份验证时，将包含从 OCI IAM 同步用户到 Rapid7 命令平台用户组所需的所有信息。

任务 5：测试 SSO

转到 Rapid7 Insight URL (https://insight.rapid7.com)，然后单击使用 SSO 登录。
输入身份证明。

您现在已成功登录到 Rapid7 命令平台。

此外，用户还会根据 OCI IAM 中的组成员资格自动添加到用户组。

确认

Authors — Gautam Mishra（首席云架构师）