1. 将 Oracle Identity Cloud Service 与 Oracle Access Manager 作为身份提供者集成
  2. 关于设置 Identity Cloud Service 与 Access Manager 之间的联盟

关于设置 Identity Cloud Service 与 Access Manager 之间的联盟

通过使用 Oracle Access Management (OAM) 为内部部署应用程序提供单点登录 (SSO),您还可以合并任何受 Oracle Identity Cloud Service 保护的应用程序。

您现有的内部部署访问管理系统为用户提供了对内部部署企业应用的单点登录。将基于云的应用程序添加到企业中引入了使用关联的用户密码管理另一个用户目录的挑战。

Oracle Identity Cloud Service 用于基于云的单点登录解决方案时,您还可以选择添加外部身份提供者。将 OAM 环境配置为 Oracle Identity Cloud Service 的身份提供者 (IdP) 可为用户提供单一位置来管理密码。

通过将 OAM 配置为充当 IdP,Oracle Identity Cloud Service 与 OAM 联合。联盟协议是,当用户尝试访问受 Oracle Identity Cloud Service 保护的应用程序时,验证将外包给 OAM。联盟协议将 OAM 指定为可信赖的依赖合作伙伴。

Oracle Identity Cloud Service 提供与符合 SAML 2.0 标准的 IdPs 的现成集成。

Oracle Identity Cloud Service SAML 2.0 IdP 功能:

  • 适用于与 SAML 2.0 兼容的联合 SSO 解决方案,例如 Oracle Access Management。
  • 允许用户使用 IdP 中的身份证明登录 Oracle Identity Cloud Service
  • 可以对所有用户强制执行 IdP 验证,也可以提供 IdP 验证作为登录选择器选项。

在本地 OAM 系统与 Oracle Identity Cloud Service 之间建立 SSO 是迁移到云的重要一步。将 Oracle Identity Cloud Service 与 OAM 联合可以使迁移过程对用户透明,因为您无需更改用户的登录屏幕或验证流。

体系结构

本地 Oracle Access Management 实施是登录凭据的权威来源。通过配置 SAML 2.0 联盟,您可以继续利用 Oracle Identity Cloud ServiceOracle Access Management 的身份证明。

路线图中将环境从内部部署访问管理系统迁移到 Oracle Identity Cloud Service 的第二阶段是建立联合单点登录。

下图重点介绍了此阶段的主要体系结构组件:

图 - 对于 Oracle Identity Cloud Service,将 Oracle Access Manager 作为 IdP

后面是图 - 的说明
“图 - Oracle Access Manager 作为 IdP for Oracle Identity Cloud Service”的说明

在此架构图中,内部部署访问管理系统表示传统身份验证机制,Oracle Identity Cloud Service 表示基于云的身份验证机制。企业用户可信源由企业轻量目录访问协议 (Lightweight Directory Access Protocol,LDAP) 服务器表示。企业 LDAP 服务器中的用户通过桥同步到 Oracle Identity Cloud Service

使用须知

以下是将 Oracle Identity Cloud Service 与 Oracle Access Management (OAM) 联合的注意事项。

如果您计划将 OAM 环境迁移到 Oracle Identity Cloud Service,则可以遵循迁移路线图来将内部部署应用程序与 Oracle Identity Cloud Service 集成,以便这些应用程序使用与云应用程序相同的单点登录 (SSO)。要了解此路线图,请参阅了解如何从内部部署访问管理迁移到 Oracle Identity Cloud Service

要将 Oracle Identity Cloud Service 与 Oracle Access Management 联合,您需要:

  • 具有管理身份提供者授权的 Oracle Identity Cloud Service 访问权限。
  • 启用了联盟服务的 OAM 环境。
  • 在 OAM Identity Store 和 Oracle Identity Cloud Service 之间同步的用户。这可以通过 Microsoft Active Directory 桥或预配桥来完成。
  • 共享的唯一属性(如电子邮件地址)必须同时存在并在 Oracle Identity Cloud Service 和 OAM 的目录中填充。
  • 运行每个服务的同步服务器时钟。SAML 断言必须在有效时间段内处理。
  • 要维护现有进程以管理 OAM 中的用户密码,OAM 是登录身份证明的授权源。

关于必需的服务和角色

此解决方案需要以下服务:

  • Oracle Identity Cloud Service
  • Oracle Access Management

这些是每个服务所需的角色。

服务名:职责 需要 ...
Oracle Identity Cloud Service :Security Administrator 管理身份提供者。
Oracle Access Management:System Administrator 访问 Oracle Access Management 控制台并更改联盟设置。

要获取所需的资源,请参阅 Oracle 产品、解决方案和服务